Introduction
Le premier trimestre de 2025 a été marqué par une intensification notable des activités cybercriminelles. Notre rapport, basé sur les données de la plateforme ransomware.live et sur nos retours d’expérience opérationnels, offre une analyse détaillée de cette montée en puissance des cybermenaces. Vous trouverez dans cet article les principales conclusions, en mettant en lumière les tendances observées, les secteurs les plus exposés et les groupes de ransomware les plus actifs.
Les Tendances Observées
Le rapport révèle une augmentation significative des incidents de ransomware au cours des trois premiers mois de 2025. Le nombre de victimes recensées dépasse largement les chiffres observés sur la même période en 2023 et 2024. Cette hausse indique une dynamique plus agressive des groupes malveillants, qui pilotent des campagnes massives et structurées.
Volume d’Incidents
Les données montrent une croissance continue du volume d’incidents de ransomware. En 2025, les campagnes de ransomwares ont déjà dépassé les niveaux atteints en 2023 et 2024 sur la même période. Ce pic pourrait annoncer une année à haut risque, particulièrement pour les structures non préparées.
Impact des Attaques
L’impact de ces attaques est également préoccupant. Les campagnes de ransomwares affectent non seulement un grand nombre de victimes, mais elles causent aussi des perturbations significatives dans les opérations des organisations touchées.
Les Secteurs Exposés
Notre rapport identifie les secteurs les plus vulnérables aux cyberattaques. À l’échelle mondiale, les secteurs technologique, industriel et des services aux entreprises sont en première ligne. La santé, les services aux particuliers et la logistique figurent également parmi les secteurs les plus touchés.
Secteurs Mondiaux
- Services aux entreprises
- Industrie/fabrication
- Technologie
- Services financiers
- Secteur public
- Santé
- Services aux particuliers
- Transport/logistique
- Éducation
Secteurs en France
En France, les attaques révèlent une exposition marquée mais dispersée. Plusieurs secteurs stratégiques comme la technologie, l’industrie, les services aux entreprises ou encore l’éducation figurent parmi les plus ciblés. Cette répartition souligne la diversité des vecteurs d’attaque et l’élargissement du champ d’action des groupes malveillants.
- Services aux entreprises
- Industrie/fabrication
- Technologie
- Énergie
- Éducation
- Santé
- Services financiers
- Agriculture/agroalimentaire
Groupes de Ransomware les Plus Actifs
En France, les groupes les plus actifs incluent fog, 8base, clop, babuk2, lynx, qilin, ransomhub, funksec, apt73 et incransom.
Présentation de 8Base
Le groupe 8Base est un collectif de cybercriminels apparu en 2022. Il s’est rapidement distingué par ses attaques ciblant principalement les petites et moyennes entreprises (PME), exploitant des vulnérabilités dans leurs systèmes de sécurité. Fonctionnant selon un modèle Ransomware-as-a-Service (RaaS), 8Base s’appuie sur un réseau d’affiliés pour diffuser ses attaques. Il utilise une variante du ransomware Phobos, permettant le chiffrement des données des victimes.
Présentation de CLOP
CLOP est un groupe de cybercriminels russes, actif depuis 2019. Il s’est imposé comme l’acteur le plus dangereux du premier trimestre 2025. Le groupe fonctionne également en Ransomware-as-a-Service (RaaS), avec un réseau d’affiliés qui diffusent ses attaques. Son mode opératoire repose sur la double extorsion : vol des données, puis chiffrement des systèmes avec menace de publication.
Retour d’Expérience Opérationnel
Notre retour d’expérience opérationnel basé sur les incidents traités lors du premier trimestre 2025 indique que plusieurs incidents ont révélé une recrudescence des compromissions de boîtes mail professionnelles. L’approche des attaquants est discrète : une fois les identifiants compromis, généralement par hameçonnage ou via des credentials revendus, l’attaquant accède à la messagerie sans déclencher d’alerte.
Détection des Compromissions
La détection intervient le plus souvent lorsqu’un utilisateur est confronté à une tentative d’authentification inhabituelle (géolocalisation, horaire, appareil). Ce signal faible enclenche une investigation conjointe avec le client, qui permet de confirmer la compromission. Dans les cas analysés, l’attaquant profite rapidement de cet accès pour faire consentir une application Microsoft 365, lui permettant d’obtenir un accès persistant à la messagerie.
Absence de Journalisation
L’un des points critiques concerne l’absence de journalisation sur l’environnement Microsoft 365 : les actions réalisées via l’application consentie ne sont plus visibles par le SOC (Security Operations Center). Cela retarde la détection et favorise la discrétion de l’attaquant. Une fois la persistance assurée, le scénario se termine souvent par une campagne de phishing secondaire, directement depuis la boîte compromise. L’attaquant profite alors du lien de confiance entre le collaborateur compromis et ses interlocuteurs internes ou externes pour diffuser des messages infectés, usurpant le contexte et le ton de conversations en cours.
Conclusion
Ce premier trimestre 2025 confirme une tendance de fond : la menace cybercriminelle s’adapte, se diversifie et cible de manière croissante des structures insuffisamment préparées. Ce constat appelle à une lecture lucide des enjeux actuels : la cybersécurité n’est plus un sujet réservé aux grandes entreprises ou aux seules DSI (Directions des Systèmes d’Information). C’est un impératif stratégique pour toutes les organisations, quelle que soit leur taille ou leur secteur d’activité.
Ce rapport clôt un premier trimestre marqué par une nette intensification de l’activité des groupes cybercriminels. La cybersécurité doit devenir une priorité pour toutes les organisations afin de se prémunir contre les risques croissants et de protéger leurs opérations et leurs données sensibles.
