Le ransomware as a service (RaaS) n’est plus seulement une évolution technique du ransomware : il en a profondément transformé la logique. En industrialisant les attaques, ce modèle a permis à des groupes structurés de fournir outils, infrastructures et services à des affiliés qui n’ont plus qu’à exécuter des campagnes à grande échelle. Résultat : les attaques se multiplient, se standardisent et se déploient avec une efficacité redoutable.
Au-delà de cette massification, une autre mutation s’impose aujourd’hui. À travers le ransomware as a service, les cybercriminels ne cherchent plus uniquement à exploiter des vulnérabilités pour pénétrer les systèmes d’information, ils privilégient désormais des voies plus discrètes et souvent plus fiables, en s’appuyant sur des identifiants compromis, des connexions distantes ou des comptes existants. L’attaque ne passe plus nécessairement par une faille mais par un accès légitime détourné, une évolution directement liée à l’industrialisation du RaaS, plus difficile à détecter et souvent plus durable.
C’est pour cela que les relations de confiance deviennent un maillon critique. Infogérants, prestataires IT, éditeurs ou partenaires techniques disposent de droits étendus, souvent indispensables au fonctionnement des organisations. Pensés pour faciliter les opérations, ces accès constituent désormais des points d’entrée privilégiés pour les attaquants. Une compromission en amont suffit à ouvrir la voie à une propagation rapide vers plusieurs environnements.
Ce basculement marque une évolution majeure du RaaS. L’attaque ne vise plus seulement une cible isolée mais exploite les interconnexions des systèmes d’information modernes. En s’appuyant sur la chaîne de sous-traitance, les attaquants gagnent en performance, en discrétion et en impact, transformant une relation de confiance en levier d’intrusion. Ces dynamiques redéfinissent aujourd’hui en profondeur le paysage des cyberattaques.
Des accès déjà ouverts, exploités à grande échelle
L’industrialisation du ransomware as a service ne se traduit pas uniquement par une augmentation du nombre d’attaques. Elle s’accompagne d’une transformation profonde des modes d’intrusion. Les attaquants privilégient des points d’entrée existants, plus simples à exploiter et surtout plus difficiles à détecter.
Cette évolution s’inscrit dans une logique d’efficacité. « On traite plus d’un ransomware par semaine », observe Vincent Nguyen, en charge de la cybersécurité chez Stoïk. Une volumétrie qui illustre le passage à l’échelle du modèle RaaS, désormais structuré autour de méthodes reproductibles et largement automatisées. Ainsi, l’accès initial devient une ressource stratégique, souvent obtenue sans intrusion technique à proprement parler. Ce fonctionnement repose sur une organisation en chaîne, dans laquelle certains acteurs fournissent les outils et infrastructures tandis que d’autres se chargent de leur exploitation, un modèle qui structure aujourd’hui le ransomware as a service.
Plutôt que de forcer une entrée, les attaquants exploitent des identifiants compromis, des connexions distantes ou des comptes déjà en place. « Les cybercriminels utilisent des identifiants volés ou détournent des sessions pour obtenir un accès légitime aux systèmes », résume Morey Haber, Chief Security Advisor chez BeyondTrust. Cette approche leur permet de s’insérer directement dans les usages normaux de l’entreprise, en bénéficiant d’un niveau de légitimité qui complique fortement la détection.
Sur le terrain, ces scénarios reposent souvent sur des configurations banales mais mal sécurisées. Les outils d’accès à distance, largement utilisés pour la maintenance ou l’infogérance, figurent parmi les vecteurs les plus exposés. « L’attaquant est entré via un compte TeamViewer laissé par défaut », rapporte Pierre Haïkal, directeur des SOC de Nomios à propos d’un incident récent. Aucun exploit sophistiqué n’a été nécessaire : un accès mal configuré a suffi à ouvrir la voie à l’attaque.
Cette facilité est renforcée par l’existence d’un marché parallèle particulièrement actif. Des identifiants valides, des accès VPN ou des comptes compromis sont régulièrement revendus, permettant à des acteurs malveillants de se connecter directement à des environnements ciblés. Dans certains cas, l’attaque commence par un simple achat d’accès, avant d’être poursuivie par d’autres acteurs spécialisés dans le déploiement du ransomware.
Mais l’enjeu dépasse le seul point d’entrée. Une fois connectés, les attaquants peuvent exploiter les connexions entre systèmes pour étendre leur périmètre d’action. Lorsqu’un prestataire ou un fournisseur est compromis, l’impact ne se limite plus à une seule organisation. « Ce n’est pas une organisation mais X clients qui sont touchés », souligne Vincent Nguyen. Une logique qui transforme chaque accès en levier de propagation.
Le ransomware as a service ne repose plus seulement sur la capacité à pénétrer un système mais sur celle à exploiter les accès à grande échelle. Une évolution qui redéfinit la notion même de point d’entrée et prépare le terrain à des attaques plus diffuses, plus rapides et plus difficiles à contenir.
Des attaques toujours plus industrialisées
- Les paiements liés aux ransomwares ont atteint 1,1 Md$ en 2023, un niveau record, selon Chainalysis.
- Plus de 4 600 attaques au ransomware ont été rendues publiques en 2023, selon BlackFog.
- Le nombre d’attaques publiées a augmenté de 67 % en un an, selon la même source.
- 49 % des violations impliquent des identifiants compromis, selon le Verizon Data Breach Investigations Report (tendance que l’on retrouve dans de nombreuses attaques par ransomware).
Des angles morts encore largement sous-estimés
Si les attaques de type ramsomware as a service se multiplient, c’est aussi parce qu’elles exploitent des failles moins visibles que les vulnérabilités techniques. Dans les environnements observés, les accès tiers échappent encore en partie aux mécanismes de contrôle, qu’il s’agisse de supervision, de gouvernance ou de simple connaissance des périmètres exposés.
Lorsqu’un prestataire intervient à distance, les équipes internes ne maîtrisent pas toujours les conditions réelles d’accès, ni les environnements utilisés. « Le prestataire se fait attaquer et l’opération se propage sans visibilité côté client », constate Louis Milcent, analyste manager au CERT I-Tracing. Dans ces situations, l’entreprise compromise ne dispose parfois d’aucun signal direct pour identifier l’origine de l’attaque. Une situation d’autant plus difficile à détecter que les actions menées reposent sur des comptes légitimes, utilisés dans un cadre apparemment normal.
Le prestataire se fait attaquer et l’opération se propage
Pour faciliter les opérations, des droits étendus sont souvent accordés aux prestataires, sans toujours être réellement contrôlés dans le temps. La question n’est donc plus seulement technique mais organisationnelle. La confiance accordée aux tiers, indispensable au fonctionnement des activités, devient un point de fragilité lorsqu’elle n’est pas accompagnée d’une gouvernance adaptée. Des pratiques encore répandues, comme le partage de comptes ou les accès permanents, compliquent l’identification des comportements anormaux.
J’attaquerais un sous-traitant plutôt que la cible
Pour les attaquants, cette situation constitue un levier stratégique. Plutôt que de cibler directement les organisations les mieux protégées, ils privilégient des maillons intermédiaires, souvent moins sécurisés mais disposant d’un accès étendu aux systèmes. « Si j’étais un cybercriminel, j’attaquerais un sous-traitant plutôt que la cible », résume Marc Balasko, responsable des équipes France chez Wallix.
Ces attaques tirent également parti d’un décalage entre authentification et contrôle continu. Une fois authentifié, l’utilisateur – ou l’attaquant – peut évoluer dans le système avec un niveau de confiance rarement remis en question. Les mécanismes de surveillance restent parfois limités, laissant aux attaquants une marge de manœuvre pour évoluer sans être immédiatement détectés.
Au-delà des outils, c’est donc la gestion globale des accès qui est en jeu. Sans visibilité fine sur les droits accordés, leur usage et leur contexte, les organisations peinent à identifier les dérives ou les compromissions.
Rançon : une pression devenue systématique
Le paiement de la rançon ne constitue plus l’unique levier des attaquants. Dans de nombreux cas, les groupes opérant en ransomware as a service combinent désormais plusieurs formes de pression : chiffrement des données, exfiltration d’informations sensibles et menace de divulgation publique.
Cette stratégie, dite de « double extorsion », vise à contraindre les organisations à payer, même lorsqu’elles disposent de sauvegardes. La publication des données devient alors un risque majeur, notamment en termes d’image, de conformité ou de
responsabilité juridique.
La négociation s’impose souvent comme une phase à part entière de l’attaque. Les groupes structurés disposent de canaux dédiés, de procédures rodées et, parfois, d’intermédiaires chargés de gérer les échanges avec les victimes.
Effet domino et reprise : une attaque à l’échelle de toute la chaîne
Lorsque l’attaque aboutit, ses conséquences dépassent largement le périmètre initialement compromis. En exploitant les interconnexions, les groupes opérant dans le cadre du ransomware as a service sont désormais en mesure de provoquer des perturbations à une échelle bien plus large qu’auparavant.
Dans les faits, ces attaques progressent rarement d’un seul bloc. Elles s’inscrivent dans une succession d’étapes, où chaque point compromis ouvre de nouvelles possibilités de déplacement. « Une attaque est une succession d’étapes. Une fois présents dans un environnement, les hackers exploitent les connexions disponibles pour progresser », rappelle Julien Levrard, Ciso d’OVHcloud. Une fois présents dans un environnement, ils identifient les connexions disponibles, récupèrent des informations, puis avancent progressivement vers d’autres systèmes. Cette logique de rebond permet d’étendre rapidement le périmètre de l’attaque.
Au-delà de la propagation, c’est l’impact opérationnel qui marque une rupture. Les attaques ne se limitent plus au chiffrement des données, elles combinent désormais plusieurs leviers : exfiltration d’informations sensibles, menaces de divulgation, interruption des activités et pression sur les délais de reprise.
Au cours d’attaques qui exploitent les dépendances entre systèmes, la capacité à redémarrer devient un enjeu central. Disposer de sauvegardes ne suffit plus : encore faut-il être en mesure de les exploiter rapidement et de reconstruire un environnement sain. « Le problème n’est pas d’avoir les données mais le temps pour repartir », souligne Bastien Bobe, Security Field CTO chez Commvault.
Dans ce type d’attaques, où plusieurs environnements peuvent être touchés simultanément, c’est la préparation même à la crise qui est remise en question. Si les organisations savent généralement gérer les premières phases d’un incident, elles sont souvent moins préparées à la reconstruction dans la durée. La gestion de crise reste encore largement centrée sur le traitement immédiat de l’attaque, au détriment des étapes de reprise et de continuité d’activité.
Une situation qui s’explique en partie par une culture de la cybersécurité encore très orientée vers la prévention. L’hypothèse d’un échec, pourtant inévitable dans certains cas, reste difficile à intégrer dans les stratégies de préparation.
Mais au-delà des conséquences immédiates, une autre évolution se dessine. Le ransomware as a service continue de gagner en rapidité, en automatisation et en coordination. Les attaquants industrialisent leurs méthodes, réutilisent des scénarios éprouvés et adaptent leurs actions en temps réel.
Il ne s’agit donc plus seulement de prévenir l’attaque mais de la détecter et de réagir suffisamment vite pour en limiter l’ampleur. Car en s’appuyant sur ces dépendances, le ransomware as a service ne cible plus uniquement des systèmes : il exploite désormais l’ensemble des dépendances qui structurent l’écosystème numérique.
Prestataires : des responsabilités sous tension
Une attaque impliquant des accès tiers mobilise souvent plusieurs prestataires simultanément dans la gestion de crise. Ces acteurs interviennent à différents niveaux, chacun disposant d’une partie des accès nécessaires à la résolution de l’incident.
La question de la responsabilité demeure primordiale. Côté prestataires, une compromission peut révéler des défaillances de sécurité et engager directement leur responsabilité. « Si une attaque se produit, c’est qu’un point du plan d’assurance sécurité n’a pas été respecté », souligne Pierre Haïkal, directeur des SOC de Nomios, évoquant des situations pouvant entraîner des pénalités ou nuire à l’image de l’entreprise.
Pour les clients, ces incidents peuvent devenir des points de rupture. Demandes de dédommagement, exigences de garanties renforcées ou remise en cause du prestataire… la gestion de crise s’accompagne souvent de tensions qui dépassent le cadre technique.
Ces situations illustrent les limites des modèles face à des attaques exploitant ces relations. Plus les systèmes sont interconnectés, plus la réponse dépend de la capacité des acteurs à coordonner leurs actions dans des délais contraints.
Par Camille Suard
