Ransomware en 2025 : une menace qui ne faiblit pas
L’année 2025 aura confirmé une tendance lourde dans le paysage de la cybersécurité mondiale : les groupes de ransomware continuent de frapper, plus organisés et plus aggressifs que jamais. La France n’est pas épargnée. Entre attaques contre des hôpitaux, des collectivités locales et des entreprises du CAC 40, les cybercriminels ont démontré qu’aucun secteur n’était hors de portée. Ce bilan à mi-parcours de l’année permet de dresser un portrait des principaux acteurs qui ont marqué l’actualité de la cybercriminalité, et de comprendre pourquoi ces groupes restent si difficiles à neutraliser.
LockBit 4.0 : le phénix du ransomware
Démantelé en grande pompe en février 2024 par une opération internationale baptisée Cronos, impliquant notamment la gendarmerie française et Europol, le groupe LockBit avait semblé vaciller. Mais 2025 a sonné l’heure du retour. Sous l’itération LockBit 4.0, le collectif a repris ses activités dès le début de l’année, ciblant notamment plusieurs PME françaises dans les secteurs de la logistique et de la santé. Ce retour fulgurant illustre un phénomène bien connu des experts en cybersécurité : démanteler un groupe de ransomware ne signifie pas l’éliminer. Les affiliés se dispersent, recrutent, rebrandent, et reviennent souvent plus discrets mais tout aussi dangereux. L’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) a d’ailleurs émis plusieurs alertes en ce sens en début d’année, recommandant aux entreprises françaises de renforcer leurs sauvegardes et leur segmentation réseau.
RansomHub et Akira : les nouveaux venus qui font mal
Si LockBit fait figure de vieille connaissance, deux groupes ont particulièrement émergé en 2025 : RansomHub et Akira. RansomHub, apparu fin 2024, a rapidement gagné en notoriété grâce à un modèle économique particulièrement rodé : le Ransomware-as-a-Service (RaaS). Concrètement, le groupe met à disposition de ses affiliés une infrastructure clé en main contre une commission sur les rançons perçues. Ce modèle abaisse considérablement la barrière technique à l’entrée pour les cybercriminels, ce qui explique la multiplication des attaques. En France, plusieurs établissements de santé et cabinets d’avocats ont été victimes de ce groupe au cours des premiers mois de l’année. Akira, de son côté, s’est spécialisé dans une double extorsion particulièrement redoutable : chiffrement des données ET menace de publication des informations sensibles. Le groupe a visé plusieurs entreprises industrielles françaises, profitant de failles dans des VPN mal mis à jour.
La double peine de la double extorsion
Ce mécanisme de double extorsion mérite qu’on s’y attarde, car il constitue l’une des évolutions majeures du ransomware ces dernières années. Autrefois, un ransomware se contentait de chiffrer les fichiers d’une entreprise et d’exiger une rançon pour la clé de déchiffrement. Aujourd’hui, les groupes exfiltrent d’abord les données sensibles avant de les chiffrer. Résultat : même une entreprise bien préparée, disposant de sauvegardes récentes, peut se retrouver coincée. Refuser de payer, c’est risquer de voir ses secrets industriels, ses données clients ou ses informations RH publiées sur des sites du dark web. En France, le RGPD complexifie encore davantage la situation : une fuite de données peut entraîner des sanctions de la CNIL en plus du préjudice opérationnel. Cette pression réglementaire supplémentaire est d’ailleurs bien connue des cybercriminels, qui l’intègrent dans leur stratégie de négociation.
La France dans le viseur : pourquoi autant de cibles hexagonales ?
Plusieurs facteurs expliquent pourquoi la France reste une cible privilégiée pour les groupes ransomware. D’abord, la taille et la richesse relative de son tissu économique : une PME française représente souvent un niveau de revenus bien supérieur à une entreprise équivalente dans d’autres régions du monde, ce qui justifie l’investissement en temps des attaquants. Ensuite, la maturité cybersécuritaire reste inégale selon les secteurs. Si les grandes entreprises du CAC 40 ont massivement investi dans leur résilience informatique, les collectivités locales, les hôpitaux et les ETI restent souvent sous-équipés. En 2025, le Centre Hospitalier de plusieurs villes de taille moyenne ont encore figuré parmi les victimes recensées, rappelant douloureusement les attaques contre le CH de Corbeil-Essonnes en 2022 ou le CHU de Rennes en 2023. L’ANSSI et le dispositif cybermalveillance.gouv.fr continuent de jouer un rôle crucial d’accompagnement, mais les ressources humaines et financières des structures publiques ne suivent pas toujours le rythme de la menace.
Que faire face à cette menace persistante ?
Face à ce constat, les experts s’accordent sur quelques priorités incontournables. La mise à jour régulière des systèmes reste la mesure la plus efficace et la moins coûteuse : une large proportion des attaques réussies exploite des vulnérabilités connues, pour lesquelles des correctifs existent mais n’ont pas été appliqués. La sauvegarde des données selon la règle 3-2-1 (trois copies, sur deux supports différents, dont une hors ligne) est également fondamentale pour limiter l’impact d’un chiffrement. La formation des collaborateurs aux techniques de phishing — point d’entrée privilégié des ransomwares — est une autre priorité souvent négligée au profit d’investissements purement technologiques. Enfin, la question du paiement des rançons reste un débat épineux : si les autorités françaises et européennes déconseillent formellement de payer (car cela finance et encourage les groupes criminels), la réalité économique pousse parfois des entreprises au bord du gouffre à céder. La réponse à long terme reste collective : meilleure coopération internationale, sanctions plus dissuasives, et investissement massif dans la cyber-résilience nationale.