Les attaques par rançongiciel se multiplient ces derniers mois à un rythme inquiétant. Liées historiquement à une cybercriminalité financière, leurs ramifications géopolitiques deviennent de plus en plus évidentes – de nombreux gangs sont tolérés, voire soutenus par des États. Le coût pour l’organisation frappée peut être colossal, mais les conséquences stratégiques, en termes de stabilité et de confiance, sont également cruciales. Le rôle pris par les rançongiciels dans les rapports de force internationaux impose une cyber-résilience à toute épreuve aux États et à leurs actifs stratégiques.
Qu’est-ce qu’un rançongiciel ?
Un rançongiciel (ou « ransomware » en anglais) est un logiciel malveillant qui chiffre l’ensemble des données d’un système informatique pour le rendre inaccessible. Un message apparaît alors sur les machines infectées, réclamant le paiement d’une rançon, le plus souvent en cryptomonnaie, en échange des clés de déchiffrement.
Depuis 2023, ce chiffrement se double souvent d’un vol des données sensibles, et débouche alors sur une « double extorsion » : les pirates réclament une première rançon pour les clés de déchiffrement et une seconde pour ne pas publier les données volées.
Dans tous les cas, le rançongiciel est le dernier maillon d’une chaîne d’infection plus complexe. Avant de le déployer, les cybercriminels ont dû obtenir un accès initial au système visé et, le plus souvent, y installer un autre malware leur permettant un « déplacement latéral » vers le reste du réseau ciblé.
De l’explosion du Covid-19 à une recrudescence récente : une histoire des ransomwares
Les rançongiciels ont connu un premier pic d’utilisation en 2016-2017, notamment avec les ravages du ransomware auto-répliquant WannaCry. Le Covid-19 marque cependant « un avant et un après pour le nombre d’attaques par rançongiciel », indique Samuel Durand, directeur technique et cofondateur de Databack, spécialiste français du traitement et de la récupération de données.
Confinements, télétravail et recours massif aux services numériques ont provoqué une explosion des cyberattaques, en particulier des rançongiciels : de moins de 40 par mois dans le monde avant avril 2020, leur nombre a bondi entre 250 et 300 par mois de septembre 2020 à mars 2023. En mai 2021, un rançongiciel du groupe russe DarkSide (une émanation du géant du ransomware russe REvil) a frappé l’oléoduc américain Colonial Pipeline : première cyberattaque contre une infrastructure critique occidentale de cette ampleur, l’incident a été comparé à un « 11 septembre numérique ».
Le nombre d’attaques par rançongiciel a ensuite connu un nouveau pic à 508 en mars 2023, puis est resté stable entre 400 et 500 par mois pendant un an et demi. La dernière poussée remonte à l’automne et à l’hiver derniers – la barre des 600 attaques a été franchie en octobre 2024, puis en février et en mars 2025. Les analystes s’attendent à un nombre record d’offensives à la fin de l’année 2025, et, assurément, à un record de rançons perçues.
Une visée financière ou géopolitique ?
Jusqu’en 2021, les rançongiciels étaient classés dans les crimes à visée strictement financière. « Notre objectif est de gagner de l’argent et non de créer des problèmes pour la société » était d’ailleurs la ligne de défense de DarkSide dans l’affaire Colonial Pipeline, partagée depuis par tous les gangs de rançongiciel de grande ampleur – Hive, LockBit, AlphV/BlackCat, Akira ou Black Basta.
Dans les faits, la situation est plus complexe. « Nous constatons régulièrement des vagues de rançongiciel ciblant des secteurs d’activité précis : industrie agroalimentaire spécialisée, établissements de santé, collectivités – laissant penser à un intérêt stratégique coordonné dépassant le cadre de l’extorsion opportuniste », relève ainsi Samuel Durand.
Certaines attaques sont d’ailleurs orchestrées ou, a minima, tolérées par des États, brouillant la frontière entre cybercriminalité et guerre hybride. Affilié au renseignement russe, le groupe Sandworm avait ainsi diffusé le rançongiciel NotPetya en 2017, à des fins de perturbation stratégique. En Russie, la plupart des gangs de ransomware ne reçoivent pas d’ordres directs du Kremlin, mais ils respectent tous un pacte leur interdisant toute attaque dans la sphère d’influence de la Russie. En échange, les autorités russes ne les poursuivent pas. À l’inverse, des groupes affiliés au renseignement russe ont parfois recours à des rançongiciels dans leurs opérations de déstabilisation.
Le cas de la Corée du Nord est particulier : les gangs de rançongiciel, comme le tristement célèbre Lazarus, y ont pour objectif unique de gagner de l’argent… mais leur butin est intégralement reversé à l’État nord-coréen, pour financer notamment ses recherches balistiques.
Des conséquences lourdes
Une attaque par rançongiciel a des conséquences considérables pour l’organisation visée, financières tout d’abord – entre le manque à gagner causé par l’interruption de service et les frais de restauration des systèmes, la facture peut se chiffrer en millions de dollars pour une grande entreprise.
Mais les enjeux de stabilité et de confiance sont tout aussi cruciaux. Quand un centre hospitalier, une collectivité, une infrastructure critique est victime d’un rançongiciel, le bruit médiatique dégrade l’image et la confiance de ces institutions auprès du public. Ce sentiment de risque instille la crainte et des réflexes de repli sur soi.
La Russie appuie ainsi sa stratégie du rançongiciel sur des attaques spectaculaires, pour fragiliser les États et leurs institutions, doublées désormais d’offensives visant les petites structures, afin que tout le tissu économique se sente sous la menace.
Vers une mutation de la menace ?
Certains gangs de rançongiciel optent d’ailleurs pour une stratégie proche du pur sabotage. Samuel Durand évoque ainsi « une recrudescence des cas d’attaques ciblant une destruction totale des données, sans réponse des attaquants malgré le paiement de la rançon ». C’est le cas du groupe russe SuperBlack, probablement issu du démantèlement de LockBit (ex-numéro un mondial du ransomware en 2022-2023) : ce gang déploie un module destructeur, le WipeBlack, qui efface irrémédiablement les données des systèmes infectés, que la rançon ait été payée ou non.
L’époque tend à brouiller les distinctions entre les différents types de cybercriminalité. En renforçant leur dimension stratégique, les rançongiciels, notamment russes, s’imposent comme des leviers d’influence dans les rapports de force internationaux. Dans le même temps, l’Occident fait aussi face à des campagnes de cyberespionnage massives parrainées par la Chine, visant à établir des accès persistants à des systèmes informatiques pour pouvoir les saboter en cas de conflit. Au confluent de ces menaces complexes, en mutation constante, les États doivent impérativement renforcer leur résilience numérique et celle de leurs actifs stratégiques.
