Pourquoi les groupes de ransomware abandonnent le chiffrement
Pendant plus d’une décennie, le modèle économique du ransomware était défini par une seule étape technique : chiffrer les fichiers de la victime, exiger un paiement pour la clé de déchiffrement et profiter de la paralysie opérationnelle que crée le chiffrement. Les défenses basées sur les sauvegardes ont été développées en réponse. Pour une fraction significative des organisations ayant investi dans des sauvegardes hors ligne ou immuables, cette défense a fonctionné. Les groupes de ransomware ont remarqué.
Les attaques de ransomware publiquement signalées ont augmenté de 47 % d’une année sur l’autre en 2025 — passant d’environ 4 900 incidents enregistrés en 2024 à 7 200 en 2025 — tandis que les revenus des ransomwares ont paradoxalement diminué sur la même période. Cette divergence révèle le mécanisme : la défense par sauvegardes fonctionnait suffisamment bien pour déprimer les taux de paiement. La réponse des acteurs de la menace a été rationnelle et rapide : si le chiffrement est le composant que les victimes ont appris à contrer, supprimons le chiffrement de l’équation.
Le modèle d’exfiltration uniquement est opérationnellement plus simple et moins cher. Le chiffrement nécessite le déploiement de binaires de ransomware dans l’environnement de la victime — un processus bruyant qui déclenche les outils de détection des endpoints. L’exfiltration ne nécessite que des identifiants valides, un serveur de transit de données et de la patience. La menace est plus simple et peut-être psychologiquement plus efficace : « Nous avons vos données, et nous les publierons dans 72 heures si vous ne payez pas. » Contrairement aux fichiers chiffrés, les données ne peuvent pas être restaurées à partir de sauvegardes.
Les données du T1 2026 confirment le caractère structurel de ce changement. Le groupe de ransomware The Gentlemen, qui utilise exclusivement l’extorsion basée sur l’exfiltration, est passé de 35 victimes au T4 2025 à 182 victimes au T1 2026 — une augmentation de 420 % d’un trimestre à l’autre. Qilin est resté le groupe globalement le plus actif avec 361 victimes au T1 2026. NightSpire, un groupe plus récent apparu au T1 2026, cible des dispositifs réseau non corrigés et utilise l’exfiltration sans chiffrement comme mécanisme d’extorsion principal. La fabrication était le secteur le plus ciblé au T1 2026, avec la construction en hausse de 44 % d’une année sur l’autre. Les États-Unis représentaient 51 % des victimes du T1 2026.
Publicité
Trois changements structurels de votre posture de réponse aux incidents
Le passage à l’exfiltration uniquement nécessite une posture de réponse aux incidents fondamentalement différente. Le modèle de réponse axé sur les sauvegardes — isoler, restaurer, reprendre — abordait le chiffrement mais n’a aucun effet sur les données déjà exfiltrées. Trois changements structurels sont requis.
1. Traiter la classification des données comme un prérequis de réponse aux incidents
Lorsqu’un groupe d’exfiltration uniquement menace de publier des données à moins d’être payé, la première question à laquelle le RSSI doit répondre est : quelles données ont été exfiltrées, et quelles sont les conséquences réglementaires et réputationnelles de leur publication ? Sans un inventaire de classification des données actuel et précis, cette question ne peut pas être résolue dans la fenêtre de 72 heures que la plupart des menaces d’extorsion fournissent.
La classification des données doit identifier au minimum : quels systèmes contiennent des données à caractère personnel (DCP) déclenchant le RGPD ou des obligations de notification équivalentes, quels systèmes contiennent de la propriété intellectuelle dont la divulgation publique nuirait à la position concurrentielle, quels systèmes contiennent des données couvertes par la confidentialité contractuelle avec des clients, et quels systèmes contiennent des données dont la publication créerait une responsabilité juridique. Cette classification doit être documentée, révisée annuellement et facilement accessible aux équipes de réponse aux incidents.
2. Déployer des contrôles DLP sur les chemins d’exfiltration
L’immuabilité des sauvegardes empêche les dommages liés au chiffrement mais ne fait rien pour détecter ou bloquer l’exfiltration. Les contrôles de Prévention des Pertes de Données (DLP) — appliqués à la sortie réseau, à l’endpoint et à la couche de stockage cloud — fournissent une capacité de détection et de prévention qui aborde spécifiquement le modèle de menace d’exfiltration uniquement.
Le DLP réseau au périmètre peut détecter les transferts de données en grand volume vers des destinations externes inhabituelles — particulièrement des serveurs de transit sur des domaines récemment enregistrés ou des comptes de stockage cloud qui ne sont pas des applications métier approuvées. Le DLP endpoint peut empêcher les transferts de fichiers en masse vers des clés USB ou des clients de synchronisation cloud non approuvés. L’écart enterprise le plus courant se situe dans la couche cloud — les techniques d’exfiltration modernes utilisent de plus en plus les propres identifiants de stockage cloud de l’organisation victime pour transiter et exfiltrer les données.
3. Pré-négocier un contrat de réponse aux violations avant un incident
La fenêtre d’extorsion de 72 heures que les groupes d’exfiltration uniquement imposent typiquement crée un défi de négociation que les organisations sans préparation préalable ne peuvent pas relever. Avant un incident, engagez une firme de cybersécurité avec une expérience démontrée en négociation de ransomware sous un contrat de rétention. Le contrat coûte USD 15 000–30 000 par an pour la plupart des organisations du marché intermédiaire et fournit un accès immédiat à : des négociateurs qui comprennent la psychologie des attaquants et les habitudes de paiement des groupes de menace actuels, des analystes de renseignement sur les menaces qui peuvent attribuer l’attaque et évaluer si le groupe a un antécédent de publication de données après paiement, et un conseil juridique familier avec les dimensions réglementaires du paiement de rançon.
La décision de rétention inclut également une question de politique critique : le conseil d’administration de votre organisation dispose-t-il d’un cadre d’autorisation de paiement de rançon pré-approuvé ? Dans les incidents d’exfiltration uniquement, le conseil sera interrogé dans les 48 heures sur la question du paiement. Les organisations qui n’ont jamais abordé cette question découvriront qu’obtenir un consensus du conseil sur une autorisation de paiement pendant un incident en direct est plus lent et plus dommageable que l’incident lui-même.
Ce qui vient ensuite
Le changement vers l’exfiltration uniquement n’est pas l’évolution finale du modèle économique du ransomware — c’est l’itération actuelle dans un cycle d’adaptation continu. Les prévisions de Recorded Future pour 2026 prévoient que 2026 sera la première année où les nouveaux acteurs de ransomware hors de Russie dépasseront ceux qui y opèrent, signalant une diversification géographique de l’écosystème. La DDoS-as-a-Service est groupée avec l’extorsion par exfiltration uniquement comme levier de pression secondaire. Le recrutement d’initiés — les opérateurs de ransomware payant des employés pour fournir des identifiants ou désactiver les contrôles de sécurité — est documenté dans plusieurs cas de 2025.
La posture de réponse aux incidents doit maintenant tenir compte d’un adversaire qui a déjà gagné avant que le chiffrement ne commence — parce que le chiffrement ne commence jamais. La question n’est plus « pouvons-nous récupérer ? » C’est « quelles sont les conséquences de la publication, et sommes-nous prêts à les gérer ? »
Questions Fréquemment Posées
Q : Si un attaquant exfiltre uniquement des données sans chiffrement, le paiement de la rançon garantit-il qu’ils ne les publieront pas ?
Non — et c’est l’asymétrie centrale du modèle d’exfiltration uniquement. Avec le ransomware à base de chiffrement, l’incitation de l’attaquant à fournir le déchiffreur est alignée sur les revenus futurs (réputation de livraison de déchiffreurs attire les paiements futurs). Avec l’extorsion par exfiltration uniquement, la copie des données existe sur l’infrastructure de l’attaquant indépendamment du paiement. Certains groupes ont honoré le paiement en ne publiant pas ; d’autres ont accepté le paiement et publié quand même. Les contrats de rétention incluent des évaluations du comportement historique de paiement de groupes spécifiques, qui est le guide le plus fiable.
Q : Comment l’extorsion par exfiltration uniquement interagit-elle avec le RGPD ou les réglementations similaires de protection des données ?
Si les données exfiltrées incluent des données personnelles de résidents de l’UE, l’article 33 du RGPD exige la notification à l’autorité de contrôle compétente dans les 72 heures suivant la prise de connaissance de la violation — indépendamment du paiement de rançon ou de la publication des données. Le paiement de la rançon n’élimine pas l’obligation de notification réglementaire.
Q : Quels secteurs sont les plus ciblés par les groupes d’exfiltration uniquement en 2026 ?
Les données du T1 2026 identifient la fabrication comme la principale cible globale, avec la construction en hausse de 44 % d’une année sur l’autre pour entrer dans le top cinq. La santé reste une cible importante en raison de la sensibilité de ses données. Les services financiers et les entreprises technologiques sont régulièrement dans le top cinq. La concentration géographique au T1 2026 était fortement axée sur les États-Unis (51 % des victimes), mais les groupes de menace se diversifient géographiquement de manière explicite.
—
Sources et lectures complémentaires
- Tactiques et tendances des ransomwares en 2026 — Recorded Future
- L’état du ransomware en 2026 — BlackFog
- Le ransomware atteint un nouveau niveau normal élevé en 2026 — Industrial Cyber
- Les zero-days, violations de données et risques IA définissent le paysage cybersécurité 2026 — eSecurity Planet
- MITRE ATT&CK — Techniques d’exfiltration — MITRE
