Rapport GTIG 2025 : évolution du paysage des ransomwares Le GTIG décrit en 2025 des ransomwares plus professionnels et ciblés, avec une rentabilité en recul mais une menace persistante. Le rapport du Google Threat Intelligence Group (GTIG) sur l evolution du paysage des ransomwares en 2025 met en lumière des tendances marquantes pour les organisations à l échelle mondiale.
Le rapport du Google Threat Intelligence Group (GTIG) sur l evolution du paysage des ransomwares en 2025 met en lumière des tendances marquantes pour les organisations à l échelle mondiale. Le document souligne notamment une rentabilité globale en baisse des opérations, tout en observant une sophistication accrue des attaques et une diversification des modèles d’affaires des cybercriminels. En somme, les actors du ransomware adaptent leurs méthodes, mais les risques persistent pour les secteurs sensibles.
Une année marquée par la baisse de rentabilité et la professionnalisation des groupes
Selon le GTIG, la rentabilité des campagnes de ransomware a reculé en moyenne en 2025. Plusieurs facteurs expliquent cette tendance: une pression croissante sur les demandes de rançon, une meilleure connaissance des flux financiers des groupes, et des environnements défenseurs plus robustes qui augmentent le coût moyen d une attaque. Malgré ce recul, les acteurs continuent d investir dans des outils plus professionnels, avec des équipes dédiées, des chaînes d approche plus rationnelles et des délais d exécution plus maîtrisés.
Cette professionnalisation s accompagne d une focalisation accrue sur les secteurs jugés critiques ou hautement sensibles, tels que la santé, l énergie et les infrastructures publiques. Les opérateurs malveillants privilégient des campagnes plus ciblées, fondées sur des taux de réussite plus élevés plutôt que sur des vagues d attaques massives. Le rapport note aussi une utilisation plus répandue des services d accès à distance et des infrastructures d hébergement offshore pour dissimuler les opérations.
Évolutions techniques et tactiques observées en 2025
Le panorama 2025 montre une continuité des attaques par double extortion, mais avec des variantes plus fines et latentes. Les ransomwares adoptent des mécanismes d exfiltration plus discrètes et des chaînes de compromis plus longues, afin d échapper aux détections précoces. Le recours à des outils d automation et à des services « ransomware-as-a-service » (RaaS) demeure répandu, rendant les attaques accessibles à des affiliés peu expérimentés.
- Double extortion renforcée : les groupes ne se contentent plus de bloquer l accès; ils publient ou vendent les données volées pour augmenter la pression sans dépendre uniquement sur la rançon.
- Chaînes d’approvisionnement ciblées : les attaques contre les fournisseurs et les partenaires se transforment en vecteurs d intrusion, impactant plusieurs victimes en chaîne.
- Exploitation multiplateforme : des ransomwares couvrent Windows, Linux et parfois des environnements cloud, avec des modules spécifiques pour les backups et les hyperviseurs.
La sécurité des sauvegardes est devenue un élément clé. Les attaquants cherchent à compromettre les procédures de sauvegarde ou à effacer les traces, rendant les restaurations plus difficiles et les coûts de récupération plus élevés pour les victimes.
Ce que cela implique pour les organisations et les mesures de prévention
Face à ces évolutions, la prévention et la résilience passent par un ensemble de bonnes pratiques consolidées. Le GTIG souligne l intérêt de renforcer les contrôles préventifs, la détection et la continuité opérationnelle. Les organisations sont invitées à travailler sur plusieurs axes concrets :
- Gestion des accès : MFA, privilégier les comptes à privilèges minimisés et la surveillance des usages anormaux.
- Sauvegardes et restauration : sauvegardes hors ligne et vérifiables, exercices réguliers de restauration pour réduire le temps de récupération.
- Segmentation et durcissement : limiter les mouvements latéraux et durcir les postes et serveurs critiques.
- Détection et réponse : déployer des solutions EDR/XDR, corréler les signaux de différents outils et mener des simulations d intrusions.
- Formation et sensibilisation : programmes de cybersécurité et exercices de phishing pour réduire les risques liés au facteur humain.
Limites et incertitudes du rapport GTIG
Comme tout rapport d intelligence, le GTIG s appuie sur des incidents observés publiquement et des sources opérationnelles accessibles. Certaines attaques restent opaque ou difficiles à attribuer avec certitude, et les chiffres publiés reflètent davantage les cas visibles que l ensemble des campagnes réelles. L évolution rapide des techniques peut aussi créer des écarts entre les données présentées et les menaces émergentes dans les prochains mois.
Pour terminer
En 2025, le paysage des ransomwares montre une dynamique double : une rentabilité sous pression et une sophistication accrue des attaques. Pour les organisations, cela implique d insister sur des mesures de prévention robustes, une résilience renforcée et une vigilance permanente face à des adversaires qui affûtent leurs méthodes tout en diversifiant leurs vecteurs d intrusion.
