Le ransomware reste une menace majeure, mais il change de nature. Moins rentable, plus surveillé, il se transforme en profondeur : les attaquants privilégient désormais l’accès aux systèmes, l’exploitation des identités et l’exfiltration de données plutôt que le chiffrement pur. Une mutation qui rebat les cartes de la menace.
Un modèle sous pression, mais loin de disparaître
Depuis plusieurs années, le ransomware s’est imposé comme l’un des risques les plus structurants. Pourtant, son modèle économique montre aujourd’hui des signes d’essoufflement d’après le blog de Google Threat Intelligence. Les taux de paiement diminuent, les montants des rançons reculent et les organisations améliorent leur capacité de reprise, notamment grâce aux sauvegardes.
Cette pression s’explique aussi par les actions des forces de l’ordre et les tensions internes à l’écosystème criminel, qui ont fragilisé plusieurs groupes majeurs. Mais loin de provoquer un recul de la menace, ces perturbations ont surtout contribué à sa recomposition. De nouveaux acteurs émergent, d’autres se structurent différemment, et le nombre de victimes exposées sur des sites de fuite de données atteint des niveaux records en 2025.
Le ransomware ne disparaît pas : il s’adapte pour maintenir sa rentabilité.
L’extorsion par la donnée devient centrale
La transformation la plus visible concerne le rôle du chiffrement lui-même. Dans 77 % des intrusions analysées en 2025, des données ont été volées, contre 57 % l’année précédente. L’exfiltration devient un levier systématique, parfois même suffisant pour mener une opération d’extorsion sans déployer de ransomware.
Certaines opérations reposent désormais principalement sur le vol de données, les acteurs cherchant à maximiser la pression en menaçant leur divulgation. Cette évolution est aussi visible dans les offres de ransomware-as-a-service, qui proposent des options centrées uniquement sur l’extorsion par la donnée.
Les attaquants s’appuient pour cela sur des outils parfaitement légitimes. Synchronisation de fichiers, compression, services cloud publics : autant de moyens utilisés pour préparer et exfiltrer les informations sans éveiller immédiatement les soupçons.
Dans le même temps, les cibles évoluent. Face à des environnements mieux protégés, les attaquants tendent à se tourner vers des organisations de plus petite taille, perçues comme plus vulnérables.
L’accès légitime, nouveau point d’entrée des attaques
Au-delà de l’extorsion, c’est toute la mécanique d’intrusion qui évolue. L’exploitation de vulnérabilités reste un point d’entrée majeur, notamment sur des équipements exposés comme les VPN ou les pare-feu, impliqués dans environ un tiers des incidents. Mais les identités compromises jouent un rôle central : dans 21 % des intrusions, les attaquants utilisent des identifiants valides pour accéder aux systèmes.
Une fois à l’intérieur, ils s’appuient largement sur des outils légitimes. Solutions d’accès à distance, utilitaires système, scripts PowerShell : l’attaque se fond dans les usages normaux de l’environnement. Les déplacements latéraux reposent massivement sur des protocoles standards comme RDP ou SMB, souvent combinés à des comptes compromis ou créés par les attaquants eux-mêmes.
Cette logique se retrouve jusqu’à la phase finale. Les infrastructures de virtualisation sont de plus en plus ciblées, dans près de la moitié des intrusions, avec des mécanismes parfois automatisés pour déployer le ransomware à grande échelle. Parallèlement, les attaquants prennent soin de neutraliser les défenses et d’empêcher toute reprise, en désactivant les outils de sécurité, en supprimant les sauvegardes ou en effaçant les traces.
