Le ransomware s’impose comme la menace cybernétiques la plus importante de cette décennie. Selon le rapport sur le ransomware 2025 d’Akamai, la situation devient de plus en plus complexe avec la convergence de la cybercriminalité, de l’activisme hacktiviste et de l’intelligence artificielle, redéfinissant ainsi les tactiques d’extorsion digitale.

En 2024, les attaques par ransomware ont augmenté de 37 %, représentant 44 % des brèches de données mondiales, avec des pics particulièrement élevés en Asie-Pacifique (51 %) et un impact significatif en Europe (27 %) et en Amérique latine (29 %).

Les groupes tels que FunkSec et Black Basta ont intégré l’intelligence artificielle générative (GenAI) et les modèles de langage (LLM) pour perfectionner leurs campagnes, y compris la création automatique de codes malveillants, des chatbots de négociation, du phishing hyperréaliste, ainsi que l’utilisation d’outils comme WormGPT ou FraudGPT, qui démocratisent la capacité de lancer des attaques sophistiquées sans compétences techniques avancées.

Les tactiques d’extorsion ont évolué du simple chiffrement des données à des stratégies plus complexes : double extorsion, triple, puis quadruple, impliquant la menace de divulgation d’informations, la pression sur des tiers ou des attaques DDoS, et même l’utilisation de normes réglementaires contre la victime en l’accusant de violations. En février 2025, le groupe CL0P a revendiqué 385 attaques en quelques semaines, établissant un record historique, tandis que Black Basta a enregistré plus de 120 000 tentatives en une semaine, avec LockBit poursuivant ses activités malgré les interventions policières.

Le modèle Ransomware-as-a-Service (RaaS) a transformé le paysage, permettant à des acteurs avec peu de compétences techniques de déployer des campagnes sophistiquées grâce à des kits prêts à l’emploi. Ce système implique développeurs, affiliés et vendeurs d’accès, démocratisant ainsi l’usage du ransomware à une échelle globale.

Une nouvelle frontière émergente aligne cybercriminalité financière et hacktivisme idéologique, où des groupes comme DragonForce, KillSec et CyberVolk utilisent le ransomware pour financer des campagnes politiques ou déstabiliser des gouvernements, et où des collectifs tels que Head Mare, Twelve ou NullBulge exploitent ces outils pour des actions disruptives sociales et politiques.

Le malware TrickBot, lié au groupe Wizard Spider, reste actif depuis 2016. Initialement conçu comme cheval de Troie bancaire, il est désormais un vecteur d’attaque pour le ransomware, ayant permis de lever plus de 724 millions de dollars en cryptomonnaies, tout en montrant une capacité de régénération face aux opérations policières internationales.

Les secteurs les plus touchés en 2025 comprennent la fabrication, la santé, l’administration publique et l’éducation, avec des coûts moyens de récupération élevés et des interruptions de service importantes.

Les coûts ne se résument pas au paiement des rançons : en moyenne, 21 jours d’inactivité après une attaque, une perte en millions de dollars, ainsi que des impacts sur la réputation, la confiance client et la conformité réglementaire. Le risque de fermeture définitive de l’entreprise est aussi une menace réelle.

Pour renforcer leur résilience, les organisations doivent adopter une architecture Zero Trust, réaliser des sauvegardes sécurisées, utiliser la détection en temps réel avec l’IA, protéger leurs périmètres et API, et élaborer des plans de continuité et des assurances cyber. Ces stratégies permettent d’adopter une posture proactive face à cette menace croissante, en se préparant à résister et à se remettre rapidement après une attaque.

En conclusion, le ransomware de 2025 est plus sophistiqué, industrialisé et diversifié que jamais. La montée de l’intelligence artificielle a abaissé les barrières à l’entrée tout en augmentant l’efficacité des attaques. La seule approche efficace consiste à renforcer la résilience, en combinant prévention, détection précoce et préparation, en adoptant une mentalité de « supposez que l’attaque arrivera » pour assurer la survie de l’organisation face à cette menace omniprésente.