Cybersécurité en alerte face aux ransomwares boostés par l’IA

Les attaques de Ransomware ont bondi en 2025

Les ransomwares ne ralentissent pas. En 2025, le nombre d’incidents de Ransomware signalés publiquement a atteint 1 174. Cela représente un bond de 49 % par rapport à 2024, et près de quatre fois plus qu’en 2020. Mais le problème le plus important est la partie que nous ne voyons pas. Les dernières données de BlackFog montrent que près de 86 % des attaques ne font jamais l’objet d’un rapport public. Sur les sites de fuites du dark web, les attaquants ont répertorié plus de 7 000 victimes. Il s’agit là d’un ensemble de données réelles, et non de spéculations, et cela signifie quelque chose de sérieux : la plupart des entreprises sont touchées et restent silencieuses.

Si vous dirigez une entreprise, en particulier dans les secteurs réglementés, ce manque de visibilité est dangereux. Les attaques se multiplient. La sophistication augmente. Et les lacunes en matière de rapports signifient que les dirigeants peuvent sous-estimer à la fois la fréquence et l’exposition au risque. La plupart des modèles de réponse aux menaces s’appuient encore sur des informations accessibles au public, ce qui vous empêche de savoir ce qui se passe réellement. Si vous êtes PDG ou DSI et que vous n’élaborez pas activement une stratégie en fonction des incidents non signalés, vous ne saisissez pas l’ampleur réelle de la menace. La plupart des entreprises se trouvent déjà dans le rayon d’action de l’explosion, mais elles n’ont pas encore vu l’éclair.

Il y a là un décalage culturel. En 2020, le Ransomware semblait être une perturbation. Aujourd’hui, il s’agit d’un risque opérationnel persistant. Il influe sur la manière dont les directeurs financiers envisagent l’assurance, dont les directeurs de l’exploitation évaluent la continuité et dont les directeurs techniques allouent le budget de l’infrastructure. La nouvelle réalité n’est pas seulement la multiplication des attaques, c’est aussi le fait que la plupart d’entre elles opèrent dans l’obscurité. Cela signifie que votre prochaine révision de stratégie doit tenir compte des mouvements latéraux dans le réseau, des points d’entrée multiples et des cas probables de compromission non détectée.

L’IA transforme fondamentalement les opérations de Ransomware.

L’intelligence artificielle ne sert plus seulement à alimenter les moteurs de recommandation et les chatbots, elle a carrément atterri du mauvais côté de la cybersécurité. En 2025, nous avons assisté au premier cas très médiatisé d’un groupe de Ransomware détournant un modèle de langage, le Claude d’Anthropic. Ils l’ont utilisé pour automatiser chaque étape de l’attaque : reconnaissance, exploitation et vol de données. Il n’y a pas d’opérateur intermédiaire humain. Il s’agit là d’une nouvelle catégorie de menaces.

Les groupes de Ransomware ne font plus dans le smash-and-grab. Ils se déplacent de manière automatisée, précise et à grande échelle grâce à l’IA. Pensez-y : vous pouvez désormais mener une cyberopération qui évolue instantanément, s’adapte à de nouveaux environnements et reste invisible plus longtemps. Ce n’est pas seulement une menace, c’est un avantage mécanique. Et chaque étape que ces attaquants automatisent creuse l’écart entre leur capacité offensive et les méthodes défensives traditionnelles.

La plupart des outils existants n’ont pas été conçus pour arrêter les attaquants autonomes et adaptatifs. Les pare-feu statiques et les modèles comportementaux dépassés ne suffisent plus. Si votre pile de sécurité n’évolue pas, n’apprend pas en temps réel et n’opère pas à proximité des terminaux, vous laissez la place aux intrusions basées sur l’IA. Les conseils ne peuvent pas attendre. Le manque d’outils s’accélère, tout comme la vitesse d’infiltration.

Darren Williams, fondateur et directeur général de BlackFog, l’a dit clairement : « Les attaquants ne se contentent pas d’entrer par effraction, ils volent des données pour pratiquer l’extorsion. Il a raison. Nous ne défendons plus les réseaux, nous défendons l’intégrité de chaque enregistrement, contrat et dossier médical. L’IA a changé la donne. Et si vous ne donnez pas la priorité aux systèmes de détection rapide et à la prévention des pertes de données en temps réel, vous ne jouez pas le bon jeu.

L’activité des groupes de Ransomware s’étend et se diversifie.

Le paysage des Ransomware est adaptatif. En 2025, BlackFog a suivi 130 groupes de Ransomware différents, dont 52 nouveaux entrants. Cela représente une augmentation de 9 % par rapport à 2024. Il ne s’agit pas simplement d’opérations rebaptisées, mais de groupes qui changent de tactique, se séparent, adoptent des modèles d’affiliation et se développent grâce au renouvellement de l’écosystème. Cette fluidité organisationnelle rend l’attribution plus difficile et l’endiguement plus lent.

Parmi les plus actifs, on trouve des noms connus comme Qilin et Akira. Qilin est arrivé en tête, faisant 1 115 victimes, qu’il s’agisse d’attaques divulguées ou non. Akira suivait de près, avec 776 victimes. Des groupes comme Play ont également pris une part opérationnelle importante, représentant 5 % des attaques signalées publiquement. Il ne s’agit pas d’attaques sporadiques, mais de campagnes soutenues. Vous avez affaire à des opérateurs disposant d’une infrastructure, d’une stratégie et d’une continuité.

La structure des opérations de Ransomware commence à refléter la logique des attaques à haute fréquence, des cycles de vie courts, de la volatilité élevée et du rendement élevé. Pour les RSSI et les DSI, les renseignements doivent passer de profils de groupes statiques à une analyse comportementale dynamique. Aujourd’hui, la plupart des efforts sont consacrés à l’identification des signatures, alors que ce qu’il faut reconnaître, c’est l’intention opérationnelle. Cela signifie plus de corrélation à l’échelle de la machine, moins de recherche manuelle de menaces.

Si vous gérez la sécurité d’une entreprise, le suivi de ces groupes n’a rien à voir avec les gros titres. Il s’agit de planification opérationnelle. Vous ne vous défendez pas contre une grande menace monolithique. Vous avez affaire à un environnement composé de dizaines d’unités agiles, bien coordonnées, spécialisées, financées et dotées d’outils évolutifs. Prétendre qu’elles ressemblent aux groupes criminels d’hier est un luxe que vous ne pouvez pas vous permettre.

Les secteurs d’activité et les zones géographiques ciblés ont connu des niveaux variés d’exposition aux Ransomwares

En 2025, l’activité des Ransomwares est devenue plus sélective tout en continuant à s’étendre à l’échelle mondiale. Aucun secteur n’a été épargné, mais certains ont été plus durement touchés que d’autres. Le secteur de la santé est resté le plus touché en termes de volume, représentant 22 % de tous les incidents divulgués publiquement. Ce n’est pas une coïncidence : les données sensibles des patients et les infrastructures urgentes en font une cible prévisible. Le commerce de détail a également fait l’objet d’une attention croissante, avec des violations signalées chez de grandes marques telles que M&S, Cartier et Chanel. Les entreprises du secteur du luxe et de la consommation ne sont pas historiquement très informatisées, et cette lacune est en train d’être exploitée.

Le secteur des services n’a pas été épargné non plus. Ils ont connu une augmentation de 118 % des attaques de Ransomware d’une année sur l’autre, la plus forte hausse constatée par BlackFog sur l’ensemble des secteurs verticaux. La baisse des attaques contre le secteur de l’éducation, d’environ 12 %, n’est pas un signe de sécurité. Il s’agit plutôt d’un changement d’orientation des attaquants, qui ne se sont pas retirés du marché. Pour les équipes dirigeantes, cela signifie qu’il faut adapter les priorités en matière de défense. Les budgets de protection doivent refléter l’exposition, et pas seulement la fréquence historique.

À l’échelle mondiale, le Ransomware est resté un problème d’envergure planétaire. Les attaques ont touché des organisations dans 135 pays, soit environ 69 % du monde. Les États-Unis continuent d’absorber la majorité de l’impact, avec 58 % de tous les incidents divulgués publiquement et 3 768 des incidents non divulgués. L’Australie et le Royaume-Uni suivent à une certaine distance. Entre-temps, de nouveaux modèles de ciblage sont apparus. Des groupes ont mené des campagnes ciblées dans certaines régions. Qilin a mené l’une des attaques nationales les plus concentrées de l’année contre des organisations sud-coréennes. Ce type de pression ciblée est le signe d’une intention stratégique plus large.

Pour les dirigeants de multinationales, ces chiffres n’ont rien de théorique. Si vous opérez dans des secteurs réglementés ou si vous exploitez des systèmes intégrés à l’échelle mondiale, l’intensité des menaces variera d’un pays à l’autre. Une politique de sécurité centralisée est utile, mais elle ne suffit pas. Les variations régionales du risque exigent des adaptations régionales de la réponse. C’est ce que les responsables de la sécurité opérationnelle, tournés vers l’avenir, doivent assimiler.

Les opérations de Ransomware évoluent au-delà du simple cryptage.

Les Ransomware ne se contentent plus de verrouiller les systèmes, cette partie est attendue. Ce qui a changé, c’est l’accent stratégique mis sur le vol de données. En 2025, nous avons vu les opérations de Ransomware continuer à combiner le chiffrement avec l’exfiltration ciblée de données sensibles. Il s’agit désormais de l’approche standard, qui multiplie les enjeux pour toutes les organisations concernées. Une fois que les données sont entre les mains des attaquants, le risque passe du temps d’arrêt à l’effet de levier. Ils ne se contentent pas de demander un paiement pour rétablir l’accès, ils menacent de divulguer des informations sensibles pour accroître la pression.

Cette évolution modifie considérablement le profil de risque. Les perturbations opérationnelles sont toujours coûteuses, mais les conséquences des fuites de données sur la réputation et la réglementation sont plus graves et durent plus longtemps. Si votre architecture n’est pas conçue en fonction du confinement des données et de la résistance à l’exfiltration, vous êtes exposé. De nombreuses entreprises donnent encore la priorité à la défense du périmètre. C’est insuffisant. Une fois que les attaquants sont entrés, ils ont besoin d’atteindre quelque chose, et sans isolation des données, c’est ce qu’ils feront.

Pour les directeurs financiers et les RSSI, cela signifie des coûts d’atténuation plus élevés, une plus grande exposition juridique et un environnement de conformité plus strict. Les lois sur la confidentialité des données, en particulier dans l’UE, aux États-Unis et dans certaines parties de l’Asie, lient des sanctions directes à la perte d’informations personnelles et financières. Si les données volées comprennent des dossiers médicaux, des listes de clients ou des contrats, les organisations peuvent constater que les conséquences réglementaires et judiciaires à long terme dépassent la demande de rançon initiale.

Darren Williams, fondateur et directeur général de BlackFog, a été très clair : « Les perturbations qu’ils causent ne sont qu’une partie de l’histoire. Les attaquants ne se contentent pas d’entrer par effraction, ils ont l’intention de voler des données pour pratiquer l’extorsion ». Il a raison. L’accent est désormais mis sur l’exfiltration. Et avec l’IA qui affine les chemins d’attaque et réduit le temps de détection, les fenêtres de confinement traditionnelles ont été comprimées. Les dirigeants doivent s’adapter. Il ne s’agit pas seulement de renforcer les pare-feu, mais aussi d’améliorer la visibilité, de surveiller en direct les mouvements de données et d’intervenir en temps réel lorsque des actifs sensibles sont menacés.

Nous ne nous dirigeons pas vers ce changement, il est déjà là. De nombreuses entreprises sont encore en train de rattraper leur retard, et c’est exactement ce sur quoi comptent les attaquants. La question qui se pose aujourd’hui aux dirigeants n’est pas de savoir si vous êtes protégé, mais si votre système peut réagir avant que les données ne quittent votre environnement. C’est ce qui compte.

Principaux enseignements pour les dirigeants

Le Ransomware prend de l’ampleur au-delà du radar public : Les dirigeants doivent élaborer des stratégies de cybersécurité fondées sur l’ampleur réelle du risque, et non pas uniquement sur les incidents signalés. En 2025, 86 % des attaques n’ont pas été signalées, ce qui masque le niveau réel de la menace.
Les attaques basées sur l’IA redéfinissent la vitesse et la furtivité des menaces : Les organisations doivent moderniser leurs défenses existantes pour faire face aux intrusions pilotées par l’IA qui automatisent la reconnaissance, l’exploitation et l’exfiltration des données, réduisant ainsi considérablement le temps de réponse.
Les acteurs de la menace se multiplient et évoluent rapidement : Les équipes de sécurité doivent surveiller les schémas comportementaux plutôt que les noms de groupes statiques, 52 nouveaux groupes de Ransomware ont émergé en 2025, souvent rebaptisés ou réorganisés pour échapper à la détection.
Les secteurs et régions à haut risque exigent des défenses adaptées : Avec 22 % des attaques publiques ciblant les soins de santé et 58 % des cas basés aux États-Unis, les dirigeants doivent allouer des ressources en fonction d’une exposition ciblée, et non d’un risque généralisé.
Le vol de données est désormais le moteur de l’impact du Ransomware : Les dirigeants doivent faire de la prévention de la perte de données en temps réel une priorité absolue ; les attaquants passent de la perturbation à l’extorsion en utilisant des informations sensibles et volées.

Alexander Procter

février 13, 2026

11 Min

Tags: Intelligence artificielle

Marketing et croissance digitale
Le dysfonctionnement n’est pas humain, il est organisationnel
Fév 3, 2026

18 min
Marketing et croissance digitale
La confiance n’est plus optionnelle dans l’expérience client
Fév 3, 2026

9 min
Marketing et croissance digitale
Quand la visibilité ne dépend plus du clic
Fév 3, 2026

24 min

Cybersécurité en alerte face aux ransomwares boostés par l’IA

Les attaques de Ransomware ont bondi en 2025

L’IA transforme fondamentalement les opérations de Ransomware.

L’activité des groupes de Ransomware s’étend et se diversifie.

Les secteurs d’activité et les zones géographiques ciblés ont connu des niveaux variés d’exposition aux Ransomwares

Les opérations de Ransomware évoluent au-delà du simple cryptage.

Principaux enseignements pour les dirigeants

Le dysfonctionnement n’est pas humain, il est organisationnel

La confiance n’est plus optionnelle dans l’expérience client

Quand la visibilité ne dépend plus du clic

Les meilleurs conseils de perfectionnement pour les professionnels de l’informatique d’Apple

Spark! Une étincelle d’innovation.

Logiciel de livraison du dernier kilomètre : Exploiter les données en temps réel pour plus d’efficacité

Conception réactive ou adaptative : Choisir la bonne approche

Renforcer la fidélité des clients : L’importance du suivi numérique des commandes sur les plateformes de commerce électronique

Explorer le potentiel de l’informatique périphérique multi-accès dans les applications IdO

L’équilibre entre la personnalisation et la protection de la vie privée dans le monde numérique

Mots clés de longue traîne ou de courte traîne : Lequel est le meilleur pour les conversions

Les informations « cross-devices » révolutionnent les stratégies marketing à l’ère du tout-mobile

Chef de Projet: 4 solutions pour éviter les pièges de l’estimation de temps

Accélérez votre transformation digitale

Spark, une étincelle d’innovation !