Le modèle Ransomware-as-a-Service (RaaS) est devenu l’un des principaux catalyseurs de l’évolution rapide de la cybercriminalité en 2025. En dissociant la conception du logiciel malveillant de sa mise en œuvre, ce modèle a permis à une nouvelle génération de cybercriminels, souvent peu qualifiés techniquement, de lancer des campagnes d’extorsion à grande échelle. Cette démocratisation de l’attaque a conduit à une multiplication des incidents, forçant les entreprises à repenser leurs approches de défense et de résilience.
« Une menace industrialisée, portée par la facilité d’accès et la rentabilité immédiate. »
Parmi les groupes RaaS les plus actifs sur la première moitié de 2025, Akira et Cl0p occupent une place de choix. Le premier s’est illustré par l’exploitation de failles dans des produits de sécurité de SonicWall, tandis que le second a tiré parti de vulnérabilités zero-day dans des solutions de transfert de fichiers comme Cleo et Progress MOVEit. Ces attaques ciblées ont touché des infrastructures critiques, des prestataires de services numériques, et des entreprises multinationales. D’autres groupes, tels que Qilin, RansomHub et Safepay, ont également marqué l’actualité par des attaques significatives, visant aussi bien des acteurs publics que privés.
Cette prolifération est d’autant plus préoccupante qu’elle s’accompagne d’une évolution des tactiques. De plus en plus de groupes abandonnent le chiffrement des données au profit de l’extorsion pure basée sur la menace de publication. RansomHub ou Weyhro ont ainsi opté pour des approches « sans ransomware », misant sur la pression médiatique et la crainte de fuites pour obtenir une rançon. Ce changement stratégique complique la réponse des entreprises, qui ne peuvent plus compter sur des procédures standards de restauration de données pour atténuer l’impact d’une attaque.
« Quand les vulnérabilités non corrigées deviennent des autoroutes pour les cybercriminels. »
Une constante persiste néanmoins : la compromission initiale repose très souvent sur l’exploitation de vulnérabilités connues mais non corrigées. Les cybercriminels scannent en continu les systèmes connectés à Internet à la recherche de failles non patchées, notamment dans les solutions VPN, les services RDP ou les outils de sauvegarde. Une fois un point d’entrée identifié, ils déploient des techniques de mouvement latéral en s’appuyant sur des outils légitimes déjà présents dans les environnements victimes (Living-off-the-Land). Cette stratégie leur permet de contourner de nombreux systèmes de détection classiques.
« La sophistication technique n’est plus réservée à une élite : l’effet RaaS abaisse la barrière d’entrée. »
Autre évolution majeure : l’émergence de l’intelligence artificielle dans les arsenaux des groupes cybercriminels. Certains, comme Funksec, expérimentent l’usage de grands modèles de langage pour générer des scripts d’attaque, rédiger des emails de phishing ou même automatiser certaines phases de reconnaissance. Des outils comme WormGPT circulent désormais dans les forums clandestins, permettant de générer des contenus malveillants convaincants sans compétences linguistiques ou techniques poussées. Même si cette adoption reste marginale pour l’instant, elle pourrait préfigurer une nouvelle ère d’automatisation offensive.
Face à cette professionnalisation du cybercrime, la réponse des entreprises ne peut plus reposer uniquement sur des outils. Une gestion rigoureuse des correctifs de sécurité (patch management), une détection comportementale avancée et une segmentation réseau stricte deviennent indispensables. L’anticipation prend ici toute son importance : cartographier les dépendances logicielles, surveiller l’exposition publique des services et tester régulièrement les capacités de réaction via des exercices de type Purple Team sont autant de leviers pour réduire l’impact d’une attaque.
« Comprendre les acteurs pour mieux se défendre. »
Enfin, la sensibilisation et la formation des équipes doivent s’adapter à ce nouveau contexte. Il ne s’agit plus seulement d’éduquer aux menaces traditionnelles, mais d’intégrer les spécificités du modèle RaaS, la typologie des acteurs impliqués, et l’évolution rapide de leurs méthodes. Une veille active sur les groupes en activité, les plateformes utilisées (dark web, Telegram, etc.) et les campagnes en cours devient un élément central d’une stratégie cyber résiliente.
Le paysage des ransomwares n’est plus celui d’un affrontement entre experts isolés et organisations fortifiées. Il est devenu un marché structuré, alimenté par la logique de service, l’effet de levier des marketplaces clandestines et la sophistication croissante des outils. Dans cet environnement, seules les organisations proactives, agiles et bien informées pourront maintenir une posture défensive efficace.
