Les attaques de ransomware ont considérablement évolué. En 2025, les acteurs malveillants ne se contentent plus de chiffrer les données — ils les exfiltrent, menacent leur divulgation publique, ciblent les chaînes d'approvisionnement et lancent des attaques coordonnées contre les infrastructures critiques. Le secteur de l'énergie est parmi leurs cibles prioritaires.
Ayant dirigé des programmes de préparation au ransomware dans plus de 20 pays chez ENGIE, j'ai vu de première main ce qui fonctionne, ce qui échoue, et ce que la plupart des organisations négligent dangereusement.
Le nouveau paysage des menaces
Les attaques de ransomware ont augmenté d'environ 70% en 2024, avec des demandes de rançon moyennes dépassant 2 millions de dollars par incident. Mais la demande financière est rarement le coût le plus élevé. Les temps d'arrêt, les dommages réputationnels, les amendes réglementaires sous GDPR et NIS2, et le coût à long terme des investigations forensiques dépassent souvent largement la rançon elle-même.
Trois évolutions définissent le paysage des menaces en 2025 :
- Double extorsion — les attaquants chiffrent et exfiltrent les données, menaçant de les publier si la rançon n'est pas payée.
- Attaques de la chaîne d'approvisionnement — compromettre un fournisseur de confiance pour atteindre simultanément plusieurs cibles en aval.
- Ciblage OT/ICS — les systèmes de technologie opérationnelle (SCADA, DCS) dans l'énergie, les utilities et l'industrie sont désormais des cibles actives, pas seulement les systèmes IT.
Cinq stratégies qui fonctionnent vraiment
1. Architecture Zero Trust — Partir du principe d'une compromission
Zero Trust n'est pas un produit. C'est une philosophie : ne jamais faire confiance, toujours vérifier. Chaque utilisateur, appareil et flux réseau doit être authentifié et autorisé, qu'il provienne de l'intérieur ou de l'extérieur de votre périmètre. La mise en œuvre de la micro-segmentation limite le rayon d'impact lorsque — et non pas si — un attaquant prend pied dans le système.
2. Sauvegardes immuables hors ligne
L'outil de récupération anti-ransomware le plus fiable reste une sauvegarde propre, testée et hors ligne. Les sauvegardes immuables — stockées de façon à ne pas pouvoir être écrasées ou chiffrées par un attaquant disposant de droits administrateur — sont votre dernier rempart. Testez vos procédures de restauration chaque trimestre. Une sauvegarde que vous n'avez jamais restaurée est une sauvegarde en laquelle vous ne pouvez pas avoir confiance.
3. Privileged Access Management (PAM)
La majorité des incidents ransomware impliquent des identifiants privilégiés compromis. La mise en œuvre du PAM — mise en coffre des identifiants administrateur, application de l'accès juste-à-temps et enregistrement des sessions privilégiées — réduit significativement la surface d'attaque. Chez ENGIE Africa, l'implémentation du PAM a été l'un des investissements de sécurité au meilleur retour sur investissement que nous ayons réalisés.
4. Exercices de simulation et plans de réponse aux incidents
Un plan qui vit dans un PDF n'est pas un plan. Menez des exercices de simulation trimestriels qui contraignent votre équipe dirigeante — y compris le PDG et le DG Finance, pas seulement l'IT — à prendre de vraies décisions sous pression simulée. Qui autorise le paiement d'une rançon ? Qui communique aux régulateurs dans les 72 heures comme l'exige le GDPR ? Qui prend la parole avec la presse ?
5. Cyber-assurance — Comprendre ce que vous avez réellement
Les polices de cyber-assurance sont devenues nettement plus restrictives depuis 2021. Avant votre prochaine échéance, auditez soigneusement votre police : ce qui est exclu, ce qui nécessite une notification préalable, et quels contrôles doivent être en place pour que la police indemnise. De nombreuses organisations découvrent les lacunes de leur couverture uniquement après un incident.
Note sur la conformité NIS2
Pour les organisations européennes — et les filiales africaines de groupes européens — NIS2 a introduit des obligations de déclaration d'incidents obligatoires, une responsabilité au niveau du conseil d'administration pour la gouvernance de la cybersécurité, et des exigences de sécurité de la chaîne d'approvisionnement. Le non-respect entraîne des amendes administratives allant jusqu'à 10 M€ ou 2% du chiffre d'affaires mondial. La préparation au ransomware et la conformité NIS2 sont désormais indissociables.
Ma recommandation pour commencer
Si vous ne savez pas par où commencer, démarrez par une analyse d'écarts par rapport au NIST Cybersecurity Framework ou à l'ISO 27001. Cela mettra rapidement en lumière vos expositions les plus critiques et vous donnera une feuille de route de remédiation priorisée que vous pourrez présenter à votre conseil d'administration avec crédibilité.