FR
  • Cyber stabilité
  • Secops
  • Gestion des risques
  • Transformation numérique
  • Souveraineté numérique
  • Cybercriminalité
  • Industrie et OT
  • Fraude
  • Identité numérique
  • Cyber +
    • Ransomware : une économie qui change d’échelle

    Ransomware : une économie qui change d’échelle

    Écrit par
    Fabrice Deblock
    18.04.26
    Cybercriminalité
    06
    MIN
    Ransomware : une économie qui change d’échelle
    Ransomware : une économie qui change d’échelle
    Ransomware : une économie qui change d’échelle
    Image Police nationale : 170 000 agents potentiellement exposés après le piratage d’e-campus
    Cybercriminalité
    17.04.26 Cybercriminalité
    Prochain article
    Police nationale : 170 000 agents potentiellement exposés après le piratage d’e-campus
    Lire
    02
    MIN
    Image [FORUM INCYBER 2026]Pour une poignée de data : quand la donnée devient arme 
    Cyber stabilité
    17.04.26 Cyber stabilité
    Prochain article
    FORUM INCYBER 2026Pour une poignée de data : quand la donnée devient arme 
    Lire
    06
    MIN
    Image Basic-Fit victime d’une fuite de données : des informations bancaires compromises
    Cybercriminalité
    14.04.26 Cybercriminalité
    Prochain article
    Basic-Fit victime d’une fuite de données : des informations bancaires compromises
    Lire
    01
    MIN
    Image La police allemande identifie deux opérateurs du gang de rançongiciel REvil
    Cybercriminalité
    08.04.26 Cybercriminalité
    Prochain article
    La police allemande identifie deux opérateurs du gang de rançongiciel REvil
    Lire
    02
    MIN
    Ransomware : une économie qui change d’échelle Le ransomware s’inscrit désormais dans une économie criminelle structurée, alimentée par la spécialisation des acteurs, l’exploitation de la donnée, l’élargissement de la surface d’attaque et l’accélération permise par l’IA. La réponse ne peut plus se limiter à la protection des systèmes. Elle suppose coopération, renseignement, signalement et montée en capacité collective. En quelques années, les acteurs du ransomware ont fait basculer cette activité, au départ relativement artisanale, dans une logique de chaîne de valeur. Le modèle s’est progressivement mué en une industrie où les rôles se répartissent entre accès initial, compromission, négociation, exfiltration et monétisation. Un marché des compétences s’est ainsi structuré, avec ses prestataires, ses affiliés et ses relais spécialisés. « Nous faisons face à un éclatement des groupes cybercriminels avec des spécialisations qui rendent l’accès aux outils criminels beaucoup plus simple. La barrière d’entrée technique diminue fortement et permet à des acteurs moins expérimentés de participer à des opérations pourtant très dommageables », déclare Pierre Meganck, Consultant cybersécurité chez Linkt, lors d’une table ronde organisée au Forum INCYBER 2026 à Lille. Pour les organisations visées, les attaques ne se limitent plus à quelques postes chiffrés. Elles visent désormais l’ensemble du système d’information, combinent sabotage opérationnel, exfiltration et extorsion et exigent des dispositifs de protection plus lourds, plus coûteux et plus difficiles à déployer, notamment pour les PME, ETI et collectivités. « Cette structuration, cette industrialisation de l’attaque, nous la ressentons depuis vingt ans. Ce qui change aujourd’hui, c’est l’échelle. Nous ne sommes plus face à une machine isolée chiffrée sur un réseau, mais face à des attaques globales avec extorsion, exfiltration et pressions multiples », note Pascal Le Digol, Country Manager France de WatchGuard Technologies. La donnée, cible première des cybercriminels Le basculement le plus net concerne la donnée. Elle devient la cible principale des attaquants. Elle permet d’extorquer, mais alimente aussi la revente, le ciblage d’opérations ultérieures et parfois la préparation de passages à l’acte physique. « Nous devrions moins parler de cybercriminalité que de ‘cyber’ au service de la criminalité. Ce qui se joue désormais, c’est l’exploitation de la donnée en elle-même », constate Christophe Cencig, Chef adjoint du pôle des enquêtes cyber à l’Ofac, Direction nationale de la police judiciaire. Hervé Petry, Commandant de l’unité nationale cyber de la Gendarmerie nationale, renchérit : « Ce qu’il faut avoir en tête aujourd’hui, c’est une triple hybridation entre groupes cybercriminels, criminalité organisée classique et entités étatiques hostiles. Dans ce contexte, la donnée volée ne constitue pas seulement un actif monétisable, elle devient aussi un levier pour préparer d’autres formes d’attaques ». À cette triple hybridation s’ajoute la montée en puissance régulière de l’OSINT (Open Source Intelligence) et de l’ingénierie sociale. Les données issues des réseaux sociaux, des fuites précédentes ou de fichiers publics en libre accès servent à qualifier les cibles, à affiner les scénarios de fraude et à réduire le temps de préparation. Les attaquants ne cherchent plus seulement une faille logicielle. Ils exploitent aussi les habitudes, les expositions personnelles et les routines professionnelles. « Avec les outils dont ils disposent, ils arrivent vraiment à connaître tout de nous de manière très précise. Ils agrègent la donnée dans des panels, dans des lookups, et cela crée une asymétrie préoccupante. Plus nous laissons de traces, plus ils disposent de matière pour cibler, affiner et passer à l’action », commente Hervé Petry. Une surface d’attaque qui dépasse les frontières de l’entreprise Autre bascule d’importance à prendre en considération : la surface d’attaque dépasse aujourd’hui largement les murs de l’entreprise. Au lieu de viser frontalement la cible principale, les attaquants cherchent le point d’accès le plus facile. Prestataires web, cabinets comptables, sous-traitants techniques ou éditeurs intermédiaires deviennent ainsi des cibles de premier choix. « Les vecteurs d’attaque prioritaires vont être les petites structures avec lesquelles les grandes entreprises travaillent. Cela peut être le prestataire qui a fait le site web ou un partenaire moins protégé. Ils deviennent une porte d’entrée plus simple vers une cible de plus grande taille », précise Pierre Meganck. L’intelligence artificielle représente un autre accélérateur majeur. En améliorant les courriels de phishing, en automatisant la recherche de cibles, en aidant au traitement de grandes masses d’informations et en réduisant le besoin de main-d’œuvre, l’IA compresse le temps nécessaire pour passer de l’observation à l’action et provoque un véritable effet d’échelle. « Le cybercrime a toujours été une affaire d’échelle, mais l’IA fait passer ce modèle à l’étape supérieure. Ce qui exigeait auparavant du temps et des effectifs peut désormais être automatisé. Un acteur isolé peut donc faire fonctionner à lui seul une activité qui nécessitait hier plusieurs personnes », avance Michaël de Laet, Team lead au European Cybercrime Center d’Europol. Réduire l’asymétrie par la coopération et le signalement Cette accélération nourrit un risque plus large, celui d’un décrochage entre capacités offensives et défensives. Grâce à des ressources financières conséquentes et à une capacité à recruter rapidement, les groupes criminels s’affranchissent de nombreuses contraintes et bénéficient d’outils toujours plus puissants. Même si ces derniers ne sont pas encore pleinement exploités, ils contribuent à creuser l’écart avec des organisations qui restent très inégalement préparées. « Les attaquants disposent déjà d’une vraie réserve technologique. Ils ont accès à des capacités qu’ils n’ont même pas encore besoin d’exploiter totalement parce que le niveau de défense demeure encore insuffisant dans beaucoup de structures », analyse Pascal Le Digol. Dans ce contexte, la réponse avancée par les intervenants tient en deux mots : coopération et signalement. Coopération entre services, entre pays, ainsi qu’entre acteurs publics et privés. Signalement aussi, parce qu’une attaque non déclarée reste une attaque difficilement exploitable sur le plan judiciaire et analytique. « Si les victimes ne remontent pas les faits, il devient impossible de rapprocher les dossiers et de construire une réponse solide », note Christophe Cencig. La remontée d’incidents, la plainte et le partage d’indicateurs conditionnent la qualité de la détection comme celle des opérations de démantèlement. « Nous renforçons la coopération internationale et la collaboration avec le privé afin de rendre ces échanges plus opérationnels. L’objectif consiste à transformer les informations disponibles en actions concrètes capables de désorganiser l’infrastructure, les services et les modèles économiques des groupes criminels », conclut Michaël de Laet.

    En quelques années, les acteurs du ransomware ont fait basculer cette activité, au départ relativement artisanale, dans une logique de chaîne de valeur. Le modèle s’est progressivement mué en une industrie où les rôles se répartissent entre accès initial, compromission, négociation, exfiltration et monétisation. Un marché des compétences s’est ainsi structuré, avec ses prestataires, ses affiliés et ses relais spécialisés. « Nous faisons face à un éclatement des groupes cybercriminels avec des spécialisations qui rendent l’accès aux outils criminels beaucoup plus simple. La barrière d’entrée technique diminue fortement et permet à des acteurs moins expérimentés de participer à des opérations pourtant très dommageables », déclare Pierre Meganck, Consultant cybersécurité chez Linkt, lors d’une table ronde organisée au Forum INCYBER 2026 à Lille.

    Pour les organisations visées, les attaques ne se limitent plus à quelques postes chiffrés. Elles visent désormais l’ensemble du système d’information, combinent sabotage opérationnel, exfiltration et extorsion et exigent des dispositifs de protection plus lourds, plus coûteux et plus difficiles à déployer, notamment pour les PME, ETI et collectivités. « Cette structuration, cette industrialisation de l’attaque, nous la ressentons depuis vingt ans. Ce qui change aujourd’hui, c’est l’échelle. Nous ne sommes plus face à une machine isolée chiffrée sur un réseau, mais face à des attaques globales avec extorsion, exfiltration et pressions multiples », note Pascal Le Digol, Country Manager France de WatchGuard Technologies.

    La donnée, cible première des cybercriminels

    Le basculement le plus net concerne la donnée. Elle devient la cible principale des attaquants. Elle permet d’extorquer, mais alimente aussi la revente, le ciblage d’opérations ultérieures et parfois la préparation de passages à l’acte physique. « Nous devrions moins parler de cybercriminalité que de ‘cyber’ au service de la criminalité. Ce qui se joue désormais, c’est l’exploitation de la donnée en elle-même », constate Christophe Cencig, Chef adjoint du pôle des enquêtes cyber à l’Ofac, Direction nationale de la police judiciaire. Hervé Petry, Commandant de l’unité nationale cyber de la Gendarmerie nationale, renchérit : « Ce qu’il faut avoir en tête aujourd’hui, c’est une triple hybridation entre groupes cybercriminels, criminalité organisée classique et entités étatiques hostiles. Dans ce contexte, la donnée volée ne constitue pas seulement un actif monétisable, elle devient aussi un levier pour préparer d’autres formes d’attaques ».

    À cette triple hybridation s’ajoute la montée en puissance régulière de l’OSINT (Open Source Intelligence) et de l’ingénierie sociale. Les données issues des réseaux sociaux, des fuites précédentes ou de fichiers publics en libre accès servent à qualifier les cibles, à affiner les scénarios de fraude et à réduire le temps de préparation. Les attaquants ne cherchent plus seulement une faille logicielle. Ils exploitent aussi les habitudes, les expositions personnelles et les routines professionnelles. « Avec les outils dont ils disposent, ils arrivent vraiment à connaître tout de nous de manière très précise. Ils agrègent la donnée dans des panels, dans des lookups, et cela crée une asymétrie préoccupante. Plus nous laissons de traces, plus ils disposent de matière pour cibler, affiner et passer à l’action », commente Hervé Petry. 

    Une surface d’attaque qui dépasse les frontières de l’entreprise

    Autre bascule d’importance à prendre en considération : la surface d’attaque dépasse aujourd’hui largement les murs de l’entreprise. Au lieu de viser frontalement la cible principale, les attaquants cherchent le point d’accès le plus facile. Prestataires web, cabinets comptables, sous-traitants techniques ou éditeurs intermédiaires deviennent ainsi des cibles de premier choix. « Les vecteurs d’attaque prioritaires vont être les petites structures avec lesquelles les grandes entreprises travaillent. Cela peut être le prestataire qui a fait le site web ou un partenaire moins protégé. Ils deviennent une porte d’entrée plus simple vers une cible de plus grande taille », précise Pierre Meganck.

    L’intelligence artificielle représente un autre accélérateur majeur. En améliorant les courriels de phishing, en automatisant la recherche de cibles, en aidant au traitement de grandes masses d’informations et en réduisant le besoin de main-d’œuvre, l’IA compresse le temps nécessaire pour passer de l’observation à l’action et provoque un véritable effet d’échelle. « Le cybercrime a toujours été une affaire d’échelle, mais l’IA fait passer ce modèle à l’étape supérieure. Ce qui exigeait auparavant du temps et des effectifs peut désormais être automatisé. Un acteur isolé peut donc faire fonctionner à lui seul une activité qui nécessitait hier plusieurs personnes », avance Michaël de Laet, Team lead au European Cybercrime Center d’Europol.

    Réduire l’asymétrie par la coopération et le signalement

    Cette accélération nourrit un risque plus large, celui d’un décrochage entre capacités offensives et défensives. Grâce à des ressources financières conséquentes et à une capacité à recruter rapidement, les groupes criminels s’affranchissent de nombreuses contraintes et bénéficient d’outils toujours plus puissants. Même si ces derniers ne sont pas encore pleinement exploités, ils contribuent à creuser l’écart avec des organisations qui restent très inégalement préparées. « Les attaquants disposent déjà d’une vraie réserve technologique. Ils ont accès à des capacités qu’ils n’ont même pas encore besoin d’exploiter totalement parce que le niveau de défense demeure encore insuffisant dans beaucoup de structures », analyse Pascal Le Digol.

    Dans ce contexte, la réponse avancée par les intervenants tient en deux mots : coopération et signalement. Coopération entre services, entre pays, ainsi qu’entre acteurs publics et privés. Signalement aussi, parce qu’une attaque non déclarée reste une attaque difficilement exploitable sur le plan judiciaire et analytique. « Si les victimes ne remontent pas les faits, il devient impossible de rapprocher les dossiers et de construire une réponse solide », note Christophe Cencig. La remontée d’incidents, la plainte et le partage d’indicateurs conditionnent la qualité de la détection comme celle des opérations de démantèlement. « Nous renforçons la coopération internationale et la collaboration avec le privé afin de rendre ces échanges plus opérationnels. L’objectif consiste à transformer les informations disponibles en actions concrètes capables de désorganiser l’infrastructure, les services et les modèles économiques des groupes criminels », conclut Michaël de Laet.

    Fabrice Deblock
    18.04.26
    Articles du même auteur :
    1
    14.04.26 Cybersécurité
    Forum INCYBER 2026 Risque cyber : la gouvernance bascule dans une logique de continuité d’activité
    Lire
    08
    MIN
    2
    03.04.26 Cyber +
    Compagnons IA : derrière l’empathie, la collecte des données
    Lire
    06
    MIN
    3
    26.03.26 Cyber +
    Moltbook, répétition générale d’un web pour agents d’IA ?
    Lire
    08
    MIN
    4
    16.03.26 Cybersécurité
    De l’énergie aux télécoms, la cybersécurité comme relais de croissance
    Lire
    06
    MIN
    Image Police nationale : 170 000 agents potentiellement exposés après le piratage d’e-campus
    Cybercriminalité
    17.04.26 Cybercriminalité
    Prochain article
    Police nationale : 170 000 agents potentiellement exposés après le piratage d’e-campus
    Lire
    02
    MIN
    Image [FORUM INCYBER 2026]Pour une poignée de data : quand la donnée devient arme 
    Cyber stabilité
    17.04.26 Cyber stabilité
    Prochain article
    FORUM INCYBER 2026Pour une poignée de data : quand la donnée devient arme 
    Lire
    06
    MIN
    Image Basic-Fit victime d’une fuite de données : des informations bancaires compromises
    Cybercriminalité
    14.04.26 Cybercriminalité
    Prochain article
    Basic-Fit victime d’une fuite de données : des informations bancaires compromises
    Lire
    01
    MIN
    Image La police allemande identifie deux opérateurs du gang de rançongiciel REvil
    Cybercriminalité
    08.04.26 Cybercriminalité
    Prochain article
    La police allemande identifie deux opérateurs du gang de rançongiciel REvil
    Lire
    02
    MIN
    Restez informés en temps réel
    S'inscrire à
    la newsletter
    En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.
    Restez informés en temps réel
    S'inscrire à
    la newsletter
    En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.