Les attaquants changent de tactique, ciblant les entreprises de taille moyenne et les secteurs d’infrastructures critiques, tandis que les risques génératifs de l’IA menacent de se concentrer sur la cyber-hygiène.
Les attaques de ransomwares continuent d’être l’une des menaces de cybersécurité les plus importantes que les organisations et les chefs de cybersécurité sont confrontés. Les attaques conduisent à des perturbations à grande échelle, à de grandes violations de données, à d’énormes paiements et à des millions de dollars de coûts pour les entreprises.
En réponse, de grandes opérations coordonnées d’application de la loi ont ciblé les principaux groupes de ransomwares et perturbé les opérations, démantelé des sites de fuite de données et vu la libération de clés de décryptage.
Cependant, le volume d’attaques a augmenté, le nombre de victimes signalées continue de croître et comme une hydra qui pousse de nouvelles têtes, l’écosystème des ransomwares a été réformé et continue de fonctionner, bien que certaines des tactiques changent.
Voici cinq idées clés que les CISO doivent savoir en 2025.
1. Trop de concentration sur les risques génératifs d’IA sous-estimant les menaces connues
Des outils d’IA génératifs tels que Chatgpt continuent de faire beaucoup de choses dans les organisations et de soulever une multitude de problèmes de sécurité. Cependant, certaines données sur les incidents et l’analyse des menaces suggèrent que les chefs de sécurité doivent rester vigilants quant à l’évolution des tactiques traditionnelles des ransomwares.
Le rapport de violation de données de Verizon 2024 a révélé que le volume des termes de recherche en utilisant le mot Genai ainsi que les ransomwares, les logiciels malveillants et la vulnérabilité dans les forums criminels n’ont pas beaucoup évolué au cours des deux années précédentes. Bien que l’IA générative puisse amplifier les menaces existantes, elle peut ne pas avoir déplacé l’aiguille sur les attaques de ransomwares car des vecteurs de menaces relativement simples tels que l’ingénierie sociale et le phishing restent efficaces, note le rapport.
Naturellement, des menaces génératrices d’IA existent; Cependant, l’accent mis sur les nouvelles technologies risque de parcourir l’importance des pratiques d’hygiène de la cybersécurité, en particulier dans les secteurs liés aux ressources comme les soins de santé publique, explique Aaron Bugal, Sophos Field CTO, APJ. «Il peut se faire au détriment de la lutte contre les bases de la cybersécurité plus fondamentales, qui contribuent aux vulnérabilités des ransomwares.»
Ne protégeant pas les informations d’identification, le manque d’authentification multi-facteurs, le non-correctif des vulnérabilités bien connues, le non-respect des appareils et des comptes d’utilisateurs, et les configurations négligées peuvent être éteintes ou oubliées si trop de mise au point est transformée en IA générative. «Certaines choses peuvent être triviales à découvrir et à atténuer, mais si elles sont négligées par les organisations, cela les rend vulnérables aux attaques», dit-il.
2. Les organisations de taille moyenne sont très vulnérables
Les données de l’industrie montrent que les organisations de taille moyenne restent très vulnérables aux attaques de ransomwares. «Les CISO doivent être conscients que les ransomwares ne ciblent plus les grandes entreprises, mais maintenant même les organisations de taille moyenne sont en danger. Cette sensibilisation est cruciale », explique Christiaan Beek, directeur principal, menace Analytics, chez Rapid7.
Les entreprises ayant des revenus annuels autour de 5 millions de dollars sont victimes de ransomwares deux fois plus souvent que celles de la fourchette de 30 à 50 millions de dollars et cinq fois plus fréquemment que celles qui ont un chiffre d’affaires de 100 millions de dollars, selon le rapport Rapid7 2024 Ransomware.
En 2025, la menace demeure, et avec de nombreuses organisations de taille moyenne dépourvues d’un CISO dédié, ils sont plus vulnérables aux perturbations des ransomwares, selon Beek. Les grandes organisations sont mieux préparées parce qu’elles ont une personne centrale et des ressources pour l’accompagner. «Les CISO ont souvent des équipes de sécurité plus importantes et de meilleurs outils pour se défendre contre les attaques», dit-il.
Les cybercriminels consultent ces entreprises qui croient qu’elles sont suffisamment grandes pour contenir des données précieuses mais n’ont pas la protection des grandes organisations. Pendant ce temps, les grandes organisations doivent considérer que les chaînes d’approvisionnement et les partenaires tiers qui incluent des tenues plus petites et moyennes sans leader de sécurité dédié peuvent augmenter leur exposition au risque.
Dans le cas d’une attaque, les organisations de marché intermédiaire peuvent manquer de visibilité des fuites de données et des outils médico-légaux des entreprises plus matures pour valider efficacement les allégations de ransomwares, selon Ashwin Ram, évangéliste de la cybersécurité pour le point de contrôle. «Beaucoup de ces organisations n’ont pas pleinement adopté la gestion de la surface des attaques externes et la surveillance du Web sombre dans la même mesure que les organisations les plus avancées.»
BEEK recommande aux CISO de réaliser des exercices de simulation d’attaque des ransomwares au moins deux fois par an pour évaluer soigneusement tous les aspects de leur préparation à la réponse aux incidents. «Il aide à identifier les lacunes et à s’assurer qu’ils sont prêts à répondre efficacement», dit-il.
3. Les attaques d’expiltration de données nécessitent un changement critique des priorités de sécurité
Ces dernières années, les attaquants de ransomwares se sont éloignés de l’extorsion basée sur le chiffrement à l’exfiltration des données et à la double, triple et même quadruple extorsion, qui cible l’organisation et les individus et aide à lancer les attaques distribuées par déni de service (DDOS), selon le RAM de Checkpoint.
Selon les données de Coveware, 87% des cas observés au cours du dernier trimestre de 2024 ont impliqué l’exfiltration et conduit à des attaques basées sur le cryptage ou est l’objectif principal de l’attaque.
«Les acteurs de la menace exfiltrent des données sensibles et utilisent la menace d’une exposition publique pour forcer les victimes à payer des rançons et il est plus efficace dans le secteur de la santé avec les dossiers médicaux et le secteur des finances, où les PII pourraient faciliter les escroqueries financières et la fraude à l’identité», explique Ram.
Il change l’écosystème des ransomwares. De nombreux groupes de cybercriminaux établis tels que Bianlian et Meow ont adopté des techniques d’exfiltration tandis que de nouveaux entrants tels que Bashe ont vu le jour offrant des «plateformes de vente de données», selon le rapport de l’état de cybersécurité en 2025 de Checkpoint.
Il existe de nombreuses raisons pour l’évolution de la nature des attaques. Étant donné que les organisations ont amélioré leurs capacités de sauvegarde et de récupération et que les actions des forces de l’ordre ont perturbé les attaques, les mauvais acteurs se sont concentrés sur l’exfiltration des données pour rationaliser les opérations, échapper à la détection et trouver d’autres voies pour des attaques lucratives, a noté le rapport.
RAM recommande les CISO examine et renforce les défenses de leur organisation autour de la protection des données, de la surveillance et de la détection rapide des menaces. Cela nécessite une approche multicouche et surtout, les «joyaux de la couronne» de l’organisation ou les actifs de données les plus critiques ont besoin de la plus haute priorité. « Les CISO vont devoir réécrire certains de leurs livres de jeu pour la réponse des incidents, où cette pièce de validation va jouer un rôle clé », dit-il.
4. Risques accrus pour les infrastructures critiques
Les attaques contre les infrastructures critiques sont en hausse, avec l’énergie, les services publics et les infrastructures d’électricité confrontées à l’escalade des menaces et des organisations de soins de santé publiques touchées en grand nombre.
Dans les soins de santé publique, les ressources sont généralement étirées, tandis que dans d’autres, comme la fabrication, les services publics et les infrastructures d’électricité, la transformation numérique apporte des systèmes d’exploitation en ligne, créant de nouvelles vulnérabilités.
Compliquer les choses, à mesure que les organisations se développent, leur infrastructure informatique augmente à la fois en taille et en complexité, ce qui peut entraîner des attaques, en particulier celles qui commencent par une vulnérabilité non corrigée. Dans le cas d’une attaque, il est plus difficile pour les équipes informatiques d’avoir une pleine visibilité de toutes leurs expositions et de leurs patchs avant d’être exploitées, selon le rapport de Sophos.
Les attaques contre des infrastructures critiques devraient se poursuivre jusqu’en 2025, selon le rapport sur les prédictions de l’Arctic Wolf Labs 2025. Il avertit également que si ces attaques de ransomwares peuvent suivre le livre de jeu typique, ils peuvent cacher les intrusions des États-nations hostiles, jetant potentiellement les bases des futurs conflits numériques. « Ces incidents peuvent également être destinés à distraire d’un objectif stratégique d’établir une persistance furtive dans ces environnements », a noté le rapport.
5. Déchange des défenses du périmètre
À mesure que le périmètre numérique d’une organisation se développe, la surface d’attaque augmente, avec des services de pointe et des appareils de plus en plus ciblés par les acteurs de la menace comme points d’entrée dans les attaques de ransomware. Le périmètre comprend désormais des appareils IoT, des applications cloud, des passerelles VPN, une multitude d’appareils connectés à Internet et d’autres outils d’accès réseau, ce qui rend plus difficile pour sécuriser les contrôles d’accès et surveiller les réseaux.
En 2024, les vulnérabilités logicielles dans les appareils de Palo Alto Networks et Sonicwall ont été exploitées et utilisées pour lancer des attaques de ransomwares.
À l’avenir, les organisations peuvent s’attendre à plus de menaces à sa surface d’attaque, selon le rapport sur les prédictions de l’Arctic Wolf Labs 2025. Les dispositifs de périmètre restent vulnérables à l’utilisation abusive des comptes valides, l’exploitation des vulnérabilités, les lacunes dans l’authentification multi-facteurs (MFA) et les faiblesses dans les pratiques de gestion de l’identité.
Les CISO font face à une pression croissante pour maintenir des processus de gestion des correctifs robustes et renforcer les configurations d’accès à travers le tableau. Dans le même temps, le périmètre numérique en expansion apporte plus d’exposition aux vulnérabilités zéro-jours. L’industrie manufacturière reste particulièrement vulnérable, a noté le rapport, représentant 44% de tous les cas étudiés par le laboratoire.
En outre, l’accès à des idées sur les attaques observées aide à comprendre la chaîne des événements et les risques potentiels qu’ils peuvent poser dans la propre organisation de la CISO, selon Beek. Ils peuvent ensuite revoir leurs processus et s’il y a la bonne technologie et des gens formés à remarquer le même type d’attaque. «En tant que CISO, si vous pouvez comprendre la chaîne d’attaques, vous pouvez voir s’il y a des pwires en place et une visibilité de ce qui se passe dans votre propre organisation», dit-il.
