Vincent Nguyen, directeur cybersécurité chez Stoïk, livre son analyse de l’évolution des attaques et rappelle les bonnes pratiques essentielles pour s’en prémunir.

Le ransomware : une menace qui se confirme

Un ransomware (ou rançongiciel) est un logiciel malveillant qui chiffre les données d’une entreprise et bloque leur accès, exigeant une rançon pour en restaurer l’accès.
Bien que moins fréquent que d’autres incidents comme la fraude, le ransomware se distingue par son impact particulièrement sévère : interruptions d’activité prolongées, pertes financières significatives, et atteinte directe à la continuité des opérations. Ce type d’attaque est aujourd’hui une menace majeure pour la pérennité des entreprises.
« Le ransomware provoque une véritable crise de confiance avec les partenaires. Beaucoup de nos assurés se retrouvent isolés : leurs partenaires préfèrent couper toute connexion avec leur système d’information pour éviter tout risque d’exposition. Il faut alors produire des rapports très détaillés, organiser des échanges entre équipes cyber et juridiques pour lever les blocages… parfois plusieurs jours après que le système informatique ait été totalement restauré et sécurisé. Par ailleurs, nous voyons désormais la triple extorsion se généraliser : les attaquants ne se contentent plus de chiffrer les données et de les voler, ils contactent aussi directement les clients et partenaires pour leur réclamer une rançon, sous la menace de publier les informations volées. »
Les PME comme les ETI, souvent moins équipées en matière de cybersécurité que les grandes organisations, figurent parmi les cibles privilégiées de ces attaques.

Une fréquence des ransomwares en nette augmentation

Alors que les données issues du Rapport de sinistralité Cyber 2024 de Stoïk faisaient état d’une fréquence d’attaques par ransomware de 0,54 %, Stoïk a observé une nette augmentation au cours des premiers mois de 2025, avec un taux désormais porté à 1,1 %. Au total, 21 ransomwares ont été identifiés, 7 auprès des assurés allemands et 14 en France.

« L’augmentation actuelle de la fréquence des attaques est difficile à expliquer de manière certaine. Toutefois, nous supposons qu’elle est liée au retour en activité de certains groupes de cybercriminels originaires d’Europe de l’Est. »

L’industrialisation des attaques : un phénomène alarmant

Aujourd’hui, le principal risque ne réside pas tant dans l’usage de l’intelligence artificielle pour automatiser la recherche de vulnérabilités, mais dans la facilité avec laquelle les cybercriminels obtiennent des identifiants d’accès. Cette situation est largement favorisée par la diffusion d’infostealers, des logiciels malveillants discrets qui, une fois installés sur l’ordinateur d’un utilisateur piégé, collectent l’ensemble des informations sensibles stockées localement (mots de passe, certificats, données d’authentification) et les transmettent aux attaquants. Le modèle économique du "Ransomware as a Service" (RaaS) facilite également la multiplication des attaques en permettant à des groupes non spécialisés d’accéder à des outils puissants.
La réduction drastique du délai entre la découverte d’une vulnérabilité et son exploitation impose une vigilance renforcée et des capacités de réaction accrues.
Trois réflexes simples pour limiter les risques de ransomware

Les observations de Stoïk montrent que la majorité des incidents sont liés à des erreurs humaines ou à des failles connues non corrigées.
« Trop d’entreprises continuent de se faire surprendre par des attaques pourtant évitables. Activer l’authentification multi-facteur (MFA), c’est-à-dire imposer une validation supplémentaire pour accéder aux systèmes sensibles, permet de bloquer une grande partie des attaques par vol de mot de passe. Corriger rapidement les vulnérabilités connues, en appliquant les mises à jour de sécurité dès qu’elles sont disponibles, empêche les cybercriminels d’exploiter des failles identifiées. Enfin, renforcer les stratégies de sauvegarde — en sauvegardant régulièrement les données et en les isolant des systèmes principaux — limite l’impact d’une attaque si elle survient malgré tout. Ces bonnes pratiques permettraient de réduire la probabilité d’occurrence, mais également l’impact des compromissions observées aujourd’hui.”.
La capacité à détecter précocement une intrusion et à réagir rapidement reste également déterminante pour limiter les impacts d’une attaque.
La plupart des attaques par ransomware peuvent être évitées avec des mesures de bon sens. Voici trois réflexes simples à mettre en place sans attendre :
• MFA obligatoire pour tous les accès distants
Activer l’authentification à plusieurs facteurs (MFA) sur l’ensemble des moyens d’accès à distance, dont les VPN, est un impératif pour lutter contre les attaques par vol d’identifiants.
• Surveillance active des vulnérabilités
Maîtriser sa surface exposée : connaître les actifs visibles depuis Internet, les surveiller pour corriger rapidement toute vulnérabilité identifiée et tout défaut de configuration observé.
• Sauvegardes régulières et déconnectées
Effectuer des sauvegardes fréquentes et conserver une copie sur un support déconnecté du réseau de l’organisation, ou activer les options d’immuabilité des sauvegardes tout en surveillant les changements sur ces options. Cela permet une reprise rapide d’activité, même en cas de chiffrement complet.

Stoïk, un acteur mobilisé pour accompagner les PME

Pour faire face à cette recrudescence du ransomware, Stoïk a renforcé ses dispositifs de protection déjà en place et accéléré le lancement de mesures encore plus ciblées pour protéger les assurés.

Stoïk a ainsi perfectionné son scan externe, l’un des quatre piliers de sa plateforme de cybersécurité, Stoïk Protect, mise à disposition de l’ensemble des assurés. Ce dispositif de surveillance régulière, désormais enrichi par l’exploitation des logs d’infostealers pour identifier les utilisateurs compromis, s’accompagne d’un suivi renforcé assuré par les équipes cyber de Stoïk afin d’aider les entreprises à détecter et corriger leurs vulnérabilités.

Plus encore, le déploiement de la solution d’EDR managé (Stoïk MDR) se poursuit pour surveiller et ainsi protéger les terminaux des entreprises. Face à la montée des ransomwares, Stoïk MDR apporte une réponse concrète, efficace dès sa mise en place.
« 0, c’est le nombre d’assurés équipés de notre service MDR managé ayant subi une attaque par ransomware depuis son adoption. »
L’enjeu de Stoïk est d’aider les assurés à limiter leur exposition à ce risque majeur, afin de continuer à renforcer, à son échelle, la résilience globale du tissu économique face aux cybermenaces.