Analyse des menaces 2025 : Ransomware et Attaques de la Chaîne d'Approvisionnement
Lysandre Beauchêne
L’année 2025 a marqué un tournant critique dans le paysage des cybermenaces. Selon les données de l’entreprise de renseignement sur les menaces Cyble, les ransomwares et les attaques de la chaîne d’approvisionnement ont atteint des niveaux records, avec une hausse de plus de 50% pour les premières et une quasi-doublement pour les secondes. Ces tendances, confirmées par le rapport annuel sur le paysage des menaces de Cyble, ne sont pas de simples statistiques : elles signalent une évolution préoccupante des tactiques des acteurs malveillants, dont les conséquences se feront probablement ressentir au-delà de 2026. Pour les responsables de la sécurité en France, cette escalade exige une relecture urgente des stratégies de défense, notamment face à la convergence alarmante entre ces deux vecteurs d’attaque.
L’explosion des ransomwares : un phénomène résilient et décentralisé
Les ransomwares ont connu une croissance exponentielle en 2025. Le rapport de Cyble fait état de 6 604 attaques réclamées par les groupes de rançon, soit une augmentation de 52% par rapport aux 4 346 incidents de 2024. Cette dynamique s’est accélérée à la fin de l’année, avec un pic de 731 attaques en décembre, approchant le record historique de février 2025. Cette résilience démontre que les opérations de répression menées par les forces de l’ordre, bien que significatives, n’ont pas réussi à éradiquer la menace, mais ont simplement provoqué une restructuration rapide des groupes criminels.
La montée de Qilin et le déclin des anciens leaders
Le paysage des groupes de ransomwares est devenu plus volatile. En 2025, Qilin a émergé comme le leader incontesté, captant à lui seul 17% de toutes les victimes. Cette ascension s’est produite dans le sillage du déclin de RansomHub, potentiellement saboté par son rival Dragonforce. La dynamique est claire : lorsque la pression s’intensifie sur un groupe dominant, les affiliés et les ressources migrent rapidement vers de nouveaux acteurs, créant un écosystème décentralisé et difficile à neutraliser. Des groupes émergents comme Sinobi et Devman ont également ciblé de manière agressive les infrastructures critiques, notamment les secteurs des services publics et de l’énergie.
“Les groupes de ransomwares sont systématiquement derrière plus de la moitié des attaques de la chaîne d’approvisionnement. Ces deux types d’attaques sont devenus de plus en plus liés.” — Cyble
Une cartographie mondiale des victimes
Les États-Unis restent la cible privilégiée, subissant 55% de toutes les attaques de ransomwares en 2025. La France, bien que moins touchée que ses voisins européens comme l’Allemagne et le Royaume-Uni, n’est pas épargnée et figure parmi les six pays les plus visés. En termes de secteurs d’activité, l’industrie de la construction, les services professionnels et la fabrication sont les plus touchés, suivis de près par la santé et l’informatique. Ces statistiques, bien que globales, doivent être interprétées avec prudence : elles reflètent les déclarations des groupes criminels et non nécessairement l’ensemble des incidents réels.
L’expansion vertigineuse des attaques de la chaîne d’approvisionnement
Si les ransomwares sont une menace ancienne, les attaques de la chaîne d’approvisionnement ont connu une croissance encore plus fulgurante en 2025, avec une augmentation de 93%, passant de 154 incidents en 2024 à 297 en 2025. Cette hausse spectaculaire traduit une évolution stratégique des cybercriminels. Plutôt que d’attaquer directement une cible bien protégée, ils préfèrent désormais compromettre un fournisseur de confiance (logiciel, service cloud, intégrateur) pour atteindre des centaines ou des milliers de clients en une seule opération. Cette méthode, souvent appelée “attaque en chaîne”, amplifie considérablement l’impact et la rentabilité des cyberattaques.
Une sophistication technique en constante évolution
Les techniques employées ont largement dépassé le stade du simple empoisonnement de paquets logiciels. En 2025, les attaquants ont ciblé des vecteurs plus complexes : les intégrations cloud, les relations de confiance SaaS et les canaux de distribution des fournisseurs. Cyble note que “les adversaires abusent de plus en plus des services amont - tels que les fournisseurs d’identité, les registres de paquets et les canaux de distribution de logiciels - pour compromettre les environnements aval à grande échelle.”
Un exemple concret illustre cette sophistication : des attaques visant des intégrations tierces sur des plateformes comme Salesforce. En compromettant des jetons OAuth (protocole d’autorisation standard pour les applications web), les attaquants ont “armé la confiance entre les plateformes SaaS”, transformant une simple connexion en une faille de sécurité à fort impact pour toute la chaîne de valeur. Ce scénario est particulièrement pertinent pour les entreprises françaises qui utilisent massivement des solutions SaaS pour leurs opérations quotidiennes.
Un impact sectoriel universel
Tous les secteurs suivis par Cyble ont été touchés par des attaques de la chaîne d’approvisionnement en 2025. Cependant, les secteurs des technologies de l’information (IT) et de la technologie ont été les plus fréquemment visés. La raison est stratégique : en compromettant un fournisseur IT, les attaquants peuvent étendre leur portée à l’ensemble de la clientèle de ce fournisseur, créant un effet domino dévastateur. Cette réalité souligne la vulnérabilité inhérente à la dépendance vis-à-vis des écosystèmes numériques externes, un défi majeur pour la souveraineté numérique française.
La convergence alarmante : quand ransomwares et chaîne d’approvisionnement s’allient
L’élément le plus préoccupant identifié par Cyble est le lien étroit entre ces deux types d’attaques. Plus de la moitié des attaques de la chaîne d’approvisionnement sont orchestrées par des groupes de ransomwares. Cette convergence crée un cercle vicieux : une attaque de la chaîne d’approvisionnement peut servir de porte d’entrée pour un déploiement massif de ransomwares, tandis que les gains financiers des ransomwares financent le développement de techniques d’infiltration plus sophistiquées pour la chaîne d’approvisionnement.
Un cycle d’innovation criminelle
Les groupes criminels capitalisent sur cette synergie pour maximiser leurs profits. En 2025, Cyble a documenté la création de 57 nouveaux groupes de ransomwares, 27 nouveaux groupes d’extorsion et plus de 350 nouvelles souches de ransomwares. Ces nouvelles souches s’appuient majoritairement sur des familles existantes (MedusaLocker, Chaos, Makop), mais leur distribution est facilitée par les vecteurs de la chaîne d’approvisionnement. Les groupes émergents comme Warlock et Gunra ont démontré une préférence marquée pour les infrastructures critiques, ciblant les gouvernements, les services de police et les services publics énergétiques.
Tableau comparatif : Profils des principales menaces 2025
| Aspect | Ransomwares | Attaques de la chaîne d’approvisionnement |
|---|---|---|
| Croissance | +52% (6 604 attaques) | +93% (297 incidents) |
| Leader actuel | Qilin (17% des victimes) | Non spécifié (tous secteurs touchés) |
| Cibles privilégiées | Construction, services pro., fabrication | IT, technologies, secteur SaaS |
| Technique émergente | Décentralisation, rebranding | Abus des services amont (OAuth, registres) |
| Impact géographique | USA (55%), Europe (Top 6) | Global, via fournisseurs internationaux |
| Lien entre les menaces | Dirige >50% des attaques de la chaîne | Vecteur d’entrée pour les ransomwares |
Mise en œuvre : Les meilleures pratiques pour se défendre en 2026
Face à cette double menace, Cyble conclut en insistant sur une réévaluation des pratiques de cybersécurité. Pour les organisations françaises, l’objectif n’est plus seulement de se protéger, mais d’anticiper les vecteurs d’attaque indirects. Voici les axes d’action prioritaires :
- Segmentation rigoureuse : Isoler les réseaux et les systèmes critiques pour limiter la propagation d’une compromission. Dans le contexte cloud et SaaS, cela implique des politiques de micro-segmentation.
- Gestion des accès renforcée : Appliquer le principe du moindre privilège et surveiller activement les jetons d’accès (comme les OAuth), qui sont devenus des cibles de choix. Il est également crucial de suivre les meilleures pratiques de gestion des mots de passe pour éviter les compromissions par brute force.
- Gestion proactive des vulnérabilités : Établir un programme de gestion des vulnérabilités qui inclut non seulement vos systèmes internes, mais aussi ceux de vos fournisseurs critiques. La norme ISO 27001 et les recommandations de l’ANSSI fournissent un cadre solide pour cette démarche. Les mises à jour d’urgence de Chrome 142 illustrent l’importance de maintenir les logiciels à jour face aux vulnérabilités critiques.
- Audits des chaînes d’approvisionnement logicielles : Mettre en place des processus de vérification de l’intégrité des logiciels et des composants tiers, en s’appuyant sur des pratiques comme SBOM (Software Bill of Materials). La vulnérabilité critique dans React et Next.js démontre comment des failles dans les dépendances peuvent exposer des milliers d’applications à des attaques à distance.
- Plan de réponse aux incidents intégré : Développer des scénarios de réponse qui couvrent spécifiquement les attaques de la chaîne d’approvisionnement, en impliquant les équipes juridiques et de communication dès le début.
“La sécurité ne réside plus seulement dans les murs de l’entreprise, mais dans la confiance accordée à l’ensemble de son écosystème numérique.” — Leçon tirée des incidents de 2025
Conclusion : Une vigilance accrue pour 2026
Les données de 2025 ne laissent aucune place au doute : les cybercriminels ont trouvé un modèle économique et technique redoutablement efficace en combinant attaques de la chaîne d’approvisionnement et ransomwares. La résilience des groupes de rançon et la sophistication croissante des vecteurs d’infiltration signifient que les organisations ne peuvent plus se contenter de défenses périphériques. Pour les entreprises françaises, l’impératif est clair : il faut passer d’une approche défensive réactive à une approche de résilience proactive. Cela implique d’investir dans la visibilité sur la chaîne d’approvisionnement logicielle, de former les équipes à détecter les signaux faibles d’une compromission en amont, et de renforcer la gouvernance des accès numériques. L’année 2026 s’annonce comme un terrain d’expérimentation où la capacité à sécuriser les écosystèmes externes déterminera la survie numérique de nombreuses organisations.