Rechercher
HomeTribunes
Recrudescence des ransomwares : un début d’année inquiétant pour les PME et ETI en Europe

Recrudescence des ransomwares : un début d’année inquiétant pour les PME et ETI en Europe

CyberExperts12 mai 2025 10:00
À l’occasion de la Journée internationale du ransomware, le 12 mai prochain, Stoïk, leader européen de l’assurance cyber pour les PME et ETI, alerte sur une dynamique préoccupante : en quelques mois, la fréquence des attaques par ransomware au sein de son portefeuille d’assurés a doublé. Avec plus de 6 000 entreprises assurées à travers l’Europe, Stoïk dispose d’une position unique d’expert du risque cyber au sein des PME-ETI et tire la sonnette d’alarme face à une menace qui cible de plus en plus massivement ce type d’entreprise.
Vincent Nguyen, directeur cybersécurité chez Stoïk, livre son analyse de l’évolution des attaques et rappelle les bonnes pratiques essentielles pour s’en prémunir.
Le ransomware : une menace qui se confirme
Un ransomware (ou rançongiciel) est un logiciel malveillant qui chiffre les données d’une entreprise et bloque leur accès, exigeant une rançon pour en restaurer l’accès.
Bien que moins fréquent que d’autres incidents comme la fraude, le ransomware se distingue par son impact particulièrement sévère : interruptions d’activité prolongées, pertes financières significatives, et atteinte directe à la continuité des opérations. Ce type d’attaque est aujourd’hui une menace majeure pour la pérennité des entreprises.

« Le ransomware provoque une véritable crise de confiance avec les partenaires. Beaucoup de nos assurés se retrouvent isolés : leurs partenaires préfèrent couper toute connexion avec leur système d’information pour éviter tout risque d’exposition. Il faut alors produire des rapports très détaillés, organiser des échanges entre équipes cyber et juridiques pour lever les blocages… parfois plusieurs jours après que le système informatique ait été totalement restauré et sécurisé. Par ailleurs, nous voyons désormais la triple extorsion se généraliser : les attaquants ne se contentent plus de chiffrer les données et de les voler, ils contactent aussi directement les clients et partenaires pour leur réclamer une rançon, sous la menace de publier les informations volées. »

Les PME comme les ETI, souvent moins équipées en matière de cybersécurité que les grandes organisations, figurent parmi les cibles privilégiées de ces attaques.

Une fréquence des ransomwares en nette augmentation
Alors que les données issues du Rapport de sinistralité Cyber 2024 de Stoïk faisaient état d’une fréquence d’attaques par ransomware de 0,54 %, Stoïk a observé une nette augmentation au cours des premiers mois de 2025, avec un taux désormais porté à 1,1 %. Au total, 21 ransomwares ont été identifiés, 7 auprès des assurés allemands et 14 en France.
« L’augmentation actuelle de la fréquence des attaques est difficile à expliquer de manière certaine. Toutefois, nous supposons qu’elle est liée au retour en activité de certains groupes de cybercriminels originaires d’Europe de l’Est. »

L’industrialisation des attaques : un phénomène alarmant

Aujourd’hui, le principal risque ne réside pas tant dans l’usage de l’intelligence artificielle pour automatiser la recherche de vulnérabilités, mais dans la facilité avec laquelle les cybercriminels obtiennent des identifiants d’accès. Cette situation est largement favorisée par la diffusion d’infostealers, des logiciels malveillants discrets qui, une fois installés sur l’ordinateur d’un utilisateur piégé, collectent l’ensemble des informations sensibles stockées localement (mots de passe, certificats, données d’authentification) et les transmettent aux attaquants. Le modèle économique du « Ransomware as a Service » (RaaS) facilite également la multiplication des attaques en permettant à des groupes non spécialisés d’accéder à des outils puissants.

La réduction drastique du délai entre la découverte d’une vulnérabilité et son exploitation impose une vigilance renforcée et des capacités de réaction accrues.

Trois réflexes simples pour limiter les risques de ransomware

Les observations de Stoïk montrent que la majorité des incidents sont liés à des erreurs humaines ou à des failles connues non corrigées.

«Trop d’entreprises continuent de se faire surprendre par des attaques pourtant évitables. Activer l’authentification multi-facteur (MFA), c’est-à-dire imposer une validation supplémentaire pour accéder aux systèmes sensibles, permet de bloquer une grande partie des attaques par vol de mot de passe. Corriger rapidement les vulnérabilités connues, en appliquant les mises à jour de sécurité dès qu’elles sont disponibles, empêche les cybercriminels d’exploiter des failles identifiées. Enfin, renforcer les stratégies de sauvegarde — en sauvegardant régulièrement les données et en les isolant des systèmes principaux — limite l’impact d’une attaque si elle survient malgré tout. Ces bonnes pratiques permettraient de réduire la probabilité d’occurrence, mais également l’impact des compromissions observées aujourd’hui.”.

La capacité à détecter précocement une intrusion et à réagir rapidement reste également déterminante pour limiter les impacts d’une attaque.

La plupart des attaques par ransomware peuvent être évitées avec des mesures de bon sens. Voici trois réflexes simples à mettre en place sans attendre :

  • MFA obligatoire pour tous les accès distants

Activer l’authentification à plusieurs facteurs (MFA) sur l’ensemble des moyens d’accès à distance, dont les VPN, est un impératif pour lutter contre les attaques par vol d’identifiants.

  • Surveillance active des vulnérabilités

Maîtriser sa surface exposée : connaître les actifs visibles depuis Internet, les surveiller pour corriger rapidement toute vulnérabilité identifiée et tout défaut de configuration observé.

  • Sauvegardes régulières et déconnectées

Effectuer des sauvegardes fréquentes et conserver une copie sur un support déconnecté du réseau de l’organisation, ou activer les options d’immuabilité des sauvegardes tout en surveillant les changements sur ces options. Cela permet une reprise rapide d’activité, même en cas de chiffrement complet.

CATEGORIES
ARTICLE PRÉCÉDENT
ARTICLE SUIVANT