Top 20 des ransomwares les plus dangereux pour les entreprises en 2026

Par Mohamed Ali Ksouri, Managing Partner & Directeur i-lead Consultingl, Publié le 14 avril 2026 — Mis à jour : avril 2026

⚡ Les ransomwares les plus dangereux en 2026 RansomHub, Akira, Qilin, DragonForce et Medusa sont les rançongiciels les plus dangereux pour les entreprises en 2026. Ces 5 groupes représentent plus de 50 % des cyberattaques contre les PME et ETI françaises. Un ransomware est un logiciel malveillant qui chiffre les données et exige une rançon. Les attaques modernes incluent aussi l’exfiltration et la publication des données (double extorsion). Dans ce guide : la liste complète des 20 ransomwares, leurs méthodes d’attaque réelles, des exemples documentés et les protections concrètes pour votre entreprise.

Définition : Qu’est-ce qu’un ransomware (rançongiciel) ? Un ransomware (ou rançongiciel en français) est un logiciel malveillant qui bloque l’accès aux données d’une entreprise par chiffrement et exige le paiement d’une rançon. Les attaques modernes incluent aussi l’exfiltration et la publication des données (double extorsion).

Sources : ANSSI Panorama 2025 : https://cyber.gouv.fr/ MITRE ATT&CK : https://attack.mitre.org/ CISA StopRansomware : https://www.cisa.gov/stopransomware NoMoreRansom : https://www.nomoreransom.org/ Sophos State of Ransomware 2025 :https://www.sophos.com Cyberint : https://cyberint.com/

Ce qu’il faut retenir en 30 secondes

Indicateur	Données clés
🥇 #1 actif 2026	RansomHub + Akira = 25 % du marché mondial. Cibles principales : PME/ETI françaises via VPN non patchés.
🔴 Technique dominante	Double extorsion (chiffrement + publication données) — standard depuis Maze 2019. Medusa pousse la triple extorsion.
📊 Chiffre-clé	5 414 attaques ransomware en 2024 (+11 %). 46 nouveaux groupes apparus après le démantèlement de LockBit (Cyberint).
🛡️ Défense n°1	Sauvegardes hors ligne testées (règle 3-2-1) + MFA généralisé + EDR/XDR actif. Ces 3 mesures bloquent 80 % des scénarios.
⚖️ Obligation légale	NIS2 en vigueur depuis octobre 2024 — déclaration d’incident sous 24h obligatoire pour les entités essentielles et importantes.

Stat choc 2025 En 2025, plus de 50 % des cyberattaques contre les organisations sont des rançongiciels. La médiane de paiement de rançon atteint 1 million de dollars et le coût moyen de récupération (hors rançon) dépasse 1,53 million de dollars (Sophos, State of Ransomware 2025). Une PME sur cinq victime d’une cyberattaque dépose le bilan (Mastercard Cybersecurity Report).

1. Point de vue expert — Mohamed Ali Ksouri

« Ce qui me frappe le plus en 2026, ce n’est pas la sophistication technique des ransomwares — c’est leur industrialisation. Quand j’analyse les incidents chez nos clients PME et ETI françaises, je constate systématiquement la même chose : l’attaque n’a pas exploité une faille inconnue. Elle a exploité un VPN non mis à jour depuis 8 mois, ou un compte admin sans MFA ‘pour aller plus vite’. Le marché du ransomware est devenu aussi rationnel qu’un marché concurrentiel classique : les groupes recrutent sur des forums, publient des ‘conditions d’affiliation’, offrent du support technique à leurs opérateurs. Face à ça, improviser une réponse cyber le jour de l’attaque, c’est comme arriver à un incendie sans extincteur. Mon opinion tranchée : en 2026, une PME française sans EDR, sans PRA testé et sans MFA généralisé n’est pas ‘peu protégée’ — elle est une cible confirmée. La question n’est plus si elle sera attaquée, mais quand. » — Mohamed Mansour, Managing Partner & Directeur i-lead Sentinel

2. Ce que nos missions terrain nous ont appris

En tant qu’ESN spécialisée en cybersécurité, les équipes i-lead Sentinel interviennent régulièrement en pré- et post-incident chez des entreprises françaises. Voici les 5 observations terrain que vous ne trouverez pas dans les rapports officiels.

01	Le VPN est le vrai talon d’Achille des PME françaises Dans 7 incidents sur 10 analysés en 2024-2025, le vecteur d’entrée était un équipement VPN non patché (Cisco, Fortinet, Pulse). Pas une attaque zero-day sophistiquée : un CVE connu depuis 6 à 18 mois, non appliqué faute de fenêtre de maintenance.
02	Le MFA est contourné plus souvent qu’on ne le croit Les groupes comme Black Basta utilisent le vishing pour convaincre un collaborateur de valider une notification MFA frauduleuse. La technologie seule ne suffit pas — la sensibilisation doit couvrir ce scénario spécifiquement.
03	Les sauvegardes ‘existent’ mais ne sont pas testées Lors de nos missions post-incident, nous découvrons souvent que les sauvegardes existaient… mais que la restauration n’avait jamais été testée. Résultat : des fichiers corrompus ou des délais 10× supérieurs aux estimations.
04	Le mouvement latéral dure en moyenne 3 semaines avant le chiffrement Les groupes Play, LockBit et Akira ne déploient pas le ransomware immédiatement. Ils cartographient l’Active Directory pendant des semaines. Un SOC actif avec détection comportementale peut intercepter l’attaque avant l’impact.
05	Les PME sous-estiment le coût de la non-conformité NIS2 La directive NIS2 impose depuis octobre 2024 des obligations de déclaration d’incident sous 24h. Les PME fournisseurs d’entités essentielles entrent dans le périmètre indirect. L’amende possible dépasse 10 M€ pour les entités importantes.

3. Ransomwares en France : les entreprises françaises dans le viseur

La France figure parmi les pays européens les plus touchés par les attaques ransomware. Selon l’ANSSI (Panorama de la cybermenace 2025), les rançongiciels représentent la première menace cyber pour les PME et ETI françaises. En 2024, des groupes comme Akira, Clop et RansomHub ont spécifiquement ciblé des organisations françaises dans les secteurs de la santé, de l’industrie et des services.

🇫🇷 Contexte France	Attaques ransomware France — exemples
ANSSI : 1er signalement = cyber.gouv.frCISA : cisa.gov/stopransomwareNIS2 : obligations renforcées depuis oct. 2024No More Ransom : outils déchiffrement gratuitsAssurance cyber : exigée par les donneurs d’ordre	WannaCry 2017 : Renault — usines arrêtéesConti 2021 : CHU de Rouen, hôpitaux françaisClop 2023 : entreprises françaises via MOVE itAkira 2024 : PME françaises IT et industrie

Voici les groupes qui ciblent activement les PME et entreprises françaises en 2026 : Akira (PME/ETI, VPN non patchés), Ransom Hub (tous secteurs), Qilin (santé, collectivités), Dragon Force (ETI, pression courte), Clop (zero-day transfert fichiers). La France est la 3ème cible européenne selon l’ANSSI.

4. Exemples d’attaques ransomware réelles en entreprise

WannaCry (2017) : hôpitaux paralysés, 150 pays, Renault arrêtéClop / MOVEit (2023) : fuite massive de données, 2 700 org., 95 M de personnes exposéesDarkSide (2021) : pipeline bloqué, pénuries de carburant USA, 4,4 M$ payésConti (2022) : Costa Rica — état d’urgence nationaleAkira (2024) : 42 M$ de revenus criminels, 25 % du marché ransomware PME

5. Les 20 ransomwares les plus dangereux — analyse détaillée

Les pionniers : ceux qui ont posé les bases (2013–2017)

1. CryptoLocker (2013–2014) — le déclencheur

Période	2013–2014
Type	Ransomware classique / chiffrement
Cible principale	Grand public, PME
Méthode	Pièces jointes infectées (Phishing)
Impact estimé	27 millions de dollars de rançons

CryptoLocker est le rançongiciel qui a popularisé le modèle économique de la rançon numérique à grande échelle. Il chiffrait les fichiers locaux et réseau avec un chiffrement RSA-2048. Neutralisé par l’opération Tovar en 2014.

CryptoLocker a démontré qu’une politique de sauvegarde rigoureuse et hors ligne est la première ligne de défense contre les cyberattaques ransomware. Les entreprises qui en disposaient ont pu récupérer sans payer.

💡 Leçon : CryptoLocker a démontré qu’une politique de sauvegarde rigoureuse et hors ligne est la première ligne de défense contre les cyberattaques ransomware. Les entreprises qui en disposaient ont pu récupérer sans payer.

2. WannaCry (mai 2017) — la pandémie numérique

Période	Mai 2017
Type	Worm ransomware (propagation automatique)
Cible principale	Tous secteurs — NHS, Renault
Méthode	Exploit EternalBlue (CVE MS17-010) sur protocole SMB Windows
Impact estimé	150 pays touchés, NHS paralysé, 4 Md$ estimés

exploitant EternalBlue, il s’est répandu à travers 150 pays en moins de 48 heures. Le NHS britannique a subi des annulations d’opérations. Renault a arrêté plusieurs usines en France.

La gestion des correctifs est vitale. WannaCry exploitait une faille pour laquelle Microsoft avait publié un patch deux mois avant. Les organisations à jour n’ont pas été touchées. → En savoir plus sur nos audits de sécurité

💡 Leçon : La gestion des correctifs est vitale. WannaCry exploitait une faille pour laquelle Microsoft avait publié un patch deux mois avant. Les organisations à jour n’ont pas été touchées. → En savoir plus sur nos audits de sécurité

3. NotPetya (juin 2017) — l’arme déguisée en ransomware

Période	Juin 2017
Type	Wiper (destructeur, pas de récupération possible)
Cible principale	Supply chain — Ukraine puis mondial
Méthode	Compromission du logiciel M.E. Doc, propagation via EternalBlue et Mimikatz
Impact estimé	10 milliards de dollars de pertes (Maersk, Merck, Saint-Gobain)

NotPetya ressemblait à un rançongiciel classique, mais c’était en réalité un wiper : un outil de destruction sans possibilité de récupération. Ciblé initialement sur l’Ukraine via le logiciel comptable M.E.Doc, il s’est propagé mondialement.

La sécurité de la supply chain logicielle est critique. NotPetya a démontré qu’un fournisseur compromis peut servir de vecteur pour atteindre des milliers d’organisations.

💡 Leçon : La sécurité de la supply chain logicielle est critique. NotPetya a démontré qu’un fournisseur compromis peut servir de vecteur pour atteindre des milliers d’organisations.

L’essor du Ransomware-as-a-Service (2018–2021)

4. Ryuk (2018–2021) — le chasseur de gros gibier

Période	2018–2021
Type	Ransomware ciblé / Big game hunting
Cible principale	Hôpitaux, collectivités, grandes entreprises
Méthode	Accès initial via TrickBot / Emotet, cartographie Active Directory, déploiement chirurgical
Impact estimé	150 M$+ de rançons, secteur santé massivement impacté

Ryuk a introduit la stratégie du « big game hunting » : cibler spécifiquement des organisations capables de payer des rançons élevées. Les attaquants prenaient le temps de cartographier l’Active Directory avant de déployer Ryuk sur les actifs critiques.

La segmentation réseau et le monitoring de l’Active Directory sont indispensables pour détecter les mouvements latéraux avant le déploiement du rançongiciel. → Découvrir notre approche purple teaming

💡 Leçon : La segmentation réseau et le monitoring de l’Active Directory sont indispensables pour détecter les mouvements latéraux avant le déploiement du rançongiciel. → Découvrir notre approche purple teaming

5. Maze (2019–2020) — l’inventeur de la double extorsion

Période	2019–2020
Type	RaaS — Double extorsion (première utilisation)
Cible principale	Grandes entreprises — Cognizant, Xerox, cabinets d’avocats
Méthode	Exfiltration des données avant chiffrement + site de publication des fuites
Impact estimé	Pionnier d’une technique aujourd’hui standard dans tous les groupes RaaS

Maze a changé les règles du jeu en introduisant la double extorsion : avant de chiffrer les fichiers, le groupe exfiltrait les données sensibles et menaçait de les publier. Cette technique a rendu les sauvegardes insuffisantes comme seule protection.

Les sauvegardes ne suffisent plus contre les ransomwares modernes. Il faut aussi protéger la confidentialité des données par le chiffrement à la source, le DLP et la classification des données sensibles.

💡 Leçon : Les sauvegardes ne suffisent plus contre les ransomwares modernes. Il faut aussi protéger la confidentialité des données par le chiffrement à la source, le DLP et la classification des données sensibles.

6. REvil / Sodinokibi (2019–2022) — le professionnel

Période	2019–2022
Type	RaaS (modèle affilié)
Cible principale	Supply chain, agroalimentaire, IT — Kaseya, JBS Foods
Méthode	Exploitation de vulnérabilités dans les plateformes de gestion IT (RMM), supply chain
Impact estimé	70 M$ demandés pour Kaseya, 11 M$ payés par JBS. 1 500 entreprises compromises en cascade.

REvil a perfectionné le modèle Ransomware-as-a-Service en recrutant des affiliés qui menaient les attaques en échange d’un pourcentage de la rançon. L’attaque sur Kaseya en juillet 2021 illustre les risques d’une cyberattaque supply chain via les outils de gestion à distance.

Les attaques supply chain via les outils de gestion à distance (RMM) représentent un risque majeur pour les PME qui dépendent de prestataires IT. Auditez les accès de vos prestataires.

💡 Leçon : Les attaques supply chain via les outils de gestion à distance (RMM) représentent un risque majeur pour les PME qui dépendent de prestataires IT. Auditez les accès de vos prestataires.

7. DarkSide (2021) — Colonial Pipeline

Période	2021
Type	RaaS / Infrastructure critique
Cible principale	Infrastructures d’importance vitale (IIV) — Colonial Pipeline (USA)
Méthode	Compromission VPN, déplacement latéral, chiffrement ciblé systèmes OT
Impact estimé	4,4 M$ de rançon payés. Pénuries de carburant dans plusieurs États américains.

DarkSide est entré dans l’histoire en frappant Colonial Pipeline, l’opérateur du plus grand pipeline de la côte est des États-Unis. L’arrêt a provoqué des pénuries d’essence dans plusieurs États. Cet incident a accéléré la prise de conscience politique (NIS2 en Europe, Executive Order aux USA).

Même les infrastructures critiques peuvent être paralysées par une cyberattaque ransomware. La directive NIS2 impose désormais des obligations de cybersécurité renforcées en Europe. → En savoir plus sur le RSSI externalisé

💡 Leçon : Même les infrastructures critiques peuvent être paralysées par une cyberattaque ransomware. La directive NIS2 impose désormais des obligations de cybersécurité renforcées en Europe. → En savoir plus sur le RSSI externalisé

8. Conti (2020–2022) — la machine de guerre

Période	2020–2022
Type	Ransomware organisé / Entreprise criminelle structurée
Cible principale	Tous secteurs — Costa Rica, hôpitaux, collectivités
Méthode	Organisation avec managers, développeurs, RH ; techniques avancées de double extorsion
Impact estimé	État d’urgence nationale au Costa Rica. Conti Leaks : fuite de 160 000 messages internes en 2022.

Conti opérait comme une véritable entreprise avec des managers, des développeurs, des négociateurs et même un service RH. La fuite de ses communications internes en 2022 a révélé une organisation avec des salaires, des objectifs et des processus de recrutement.

Les groupes de rançongiciels opèrent comme des entreprises légitimes. La réponse doit être à la hauteur : gouvernance, plans de réponse aux incidents, SOC actif et exercices de crise réguliers.

💡 Leçon : Les groupes de rançongiciels opèrent comme des entreprises légitimes. La réponse doit être à la hauteur : gouvernance, plans de réponse aux incidents, SOC actif et exercices de crise réguliers.

9. Hive (2021–2023) — neutralisé par le FBI

Période	2021–2023
Type	RaaS / Secteur santé
Cible principale	Hôpitaux, établissements de santé — 1 500 org. dans 80 pays
Méthode	Phishing, exploitation de vulnérabilités, double extorsion
Impact estimé	100 M$ de rançons. FBI infiltré 7 mois → 130 M$ de rançons évités.

Hive a ciblé plus de 1 500 organisations dans 80 pays, particulièrement dans le secteur de la santé. En janvier 2023, le FBI a annoncé avoir infiltré le réseau Hive pendant sept mois, récupérant les clés de déchiffrement et évitant ainsi plus de 130 millions de dollars de rançons.

Signaler les incidents aux autorités (ANSSI en France, CISA aux USA) peut déboucher sur une aide concrète. NoMoreRansom (nomoreransom.org) propose des outils de déchiffrement gratuits pour de nombreuses familles de rançongiciels.

💡 Leçon : Signaler les incidents aux autorités (ANSSI en France, CISA aux USA) peut déboucher sur une aide concrète. NoMoreRansom (nomoreransom.org) propose des outils de déchiffrement gratuits pour de nombreuses familles de rançongiciels.

Sophistication et fragmentation (2022–2024)

10. LockBit (2019–2024) — le roi déchu

Période	2019–2024 (Opération Cronos)
Type	RaaS ultra-performant / Multiversions
Cible principale	Tous secteurs — 7 000+ attaques mondiales
Méthode	Plateforme RaaS avec affiliés, vitesse de chiffrement record, versions 2.0 / 3.0 / Green
Impact estimé	7 000+ attaques entre 2022 et 2024. Leader mondial 5 ans. Démantelé par Europol (Op. Cronos, fév. 2024).

LockBit a dominé le paysage ransomware pendant près de cinq ans. Sa vitesse de chiffrement (quelques minutes pour un réseau complet) et ses versions successives en ont fait le rançongiciel le plus répandu. En février 2024, l’opération Cronos coordonnée par Europol a démantelé ses infrastructures et identifié son leader présumé, Dmitry Khoroshev.

Le démantèlement de LockBit n’a pas réduit la menace — il l’a fragmentée. Les affiliés ont migré vers RansomHub et Qilin en quelques semaines. La threat intelligence reste indispensable pour suivre ces migrations.

💡 Leçon : Le démantèlement de LockBit n’a pas réduit la menace — il l’a fragmentée. Les affiliés ont migré vers RansomHub et Qilin en quelques semaines. La threat intelligence reste indispensable pour suivre ces migrations.

11. BlackCat / ALPHV (2021–2024) — le ransomware en Rust

Période	2021–2024
Type	RaaS / Architecture technique avancée
Cible principale	Universités, hôpitaux, entreprises technologiques, ESN
Méthode	Écrit en Rust (langage rare pour les malwares), chiffrement personnalisable, ciblage multiplateforme (Windows, Linux, VMware ESXi)
Impact estimé	Plusieurs centaines d’organisations compromises. Démantèlement partiel par le FBI en décembre 2023.

BlackCat s’est distingué par son architecture technique : écrit en Rust, il offrait une flexibilité inédite en termes de personnalisation du chiffrement et de ciblage multiplateforme. Le groupe ciblait également les hyperviseurs VMware ESXi pour chiffrer des dizaines de machines virtuelles en une seule opération.

La protection des hyperviseurs VMware ESXi est devenue un impératif de cybersécurité. Les attaquants ciblent de plus en plus les couches de virtualisation pour maximiser l’impact du chiffrement.

💡 Leçon : La protection des hyperviseurs VMware ESXi est devenue un impératif de cybersécurité. Les attaquants ciblent de plus en plus les couches de virtualisation pour maximiser l’impact du chiffrement.

12. Royal / BlackSuit (2022–2024) — l’indépendant

Période	2022–2024
Type	Ransomware indépendant (sans modèle RaaS)
Cible principale	Grandes entreprises, infrastructures critiques — Dallas, Texas (2023)
Méthode	Accès initial via phishing, exploitation de vulnérabilités dans équipements périphériques (imprimantes, IoT)
Impact estimé	Rançons de 1 à 10 millions de dollars par incident.

Royal fonctionnait sans le modèle RaaS. Rebaptisé BlackSuit en 2024, il ciblait les grandes entreprises avec des rançons élevées. En mai 2023, la ville de Dallas a été paralysée : services municipaux, police, notes de rançon imprimées sur toutes les imprimantes du réseau.

La sécurité des équipements périphériques (imprimantes, IoT, caméras IP) est souvent négligée. Ces appareils connectés deviennent des vecteurs d’attaque ou de propagation latérale.

💡 Leçon : La sécurité des équipements périphériques (imprimantes, IoT, caméras IP) est souvent négligée. Ces appareils connectés deviennent des vecteurs d’attaque ou de propagation latérale.

13. Black Basta (2022–présent) — le successeur de Conti

Période	2022–présent
Type	RaaS / Ingénierie sociale avancée
Cible principale	BTP, santé, services financiers
Méthode	Vishing (appels téléphoniques frauduleux simulant un support IT), phishing ciblé, double extorsion
Impact estimé	Actif. Plusieurs dizaines d’organisations touchées en France et en Europe.

Apparu fin 2022, Black Basta utilise des techniques d’ingénierie sociale avancées incluant des appels téléphoniques simulant un support IT pour obtenir un accès initial. Cette technique de vishing contourne les filtres anti-phishing classiques.

La sensibilisation des collaborateurs doit couvrir les appels téléphoniques suspects (vishing), pas seulement le phishing par email. Organisez des exercices de simulation incluant des scénarios téléphoniques.

💡 Leçon : La sensibilisation des collaborateurs doit couvrir les appels téléphoniques suspects (vishing), pas seulement le phishing par email. Organisez des exercices de simulation incluant des scénarios téléphoniques.

14. Clop (2019–présent) — le spécialiste des failles zero-day

Période	2019–présent
Type	Exploitation zero-day sur outils de transfert
Cible principale	Organisations utilisant Accellion FTA, GoAnywhere MFT, MOVEit Transfer
Méthode	Exploitation de CVE zero-day sur logiciels de transfert de fichiers, exfiltration massive avant notification
Impact estimé	MOVEit (2023) : 2 700+ organisations, ~95 millions de données personnelles compromises.

Clop s’est spécialisé dans l’exploitation de vulnérabilités zero-day dans les outils de transfert de fichiers : Accellion FTA (2021), GoAnywhere MFT (2023) et surtout MOVEit Transfer (2023). Cette campagne a touché plus de 2 700 organisations et compromis près de 95 millions de données personnelles.

Les outils de transfert de fichiers sont des cibles privilégiées des cyberattaques ransomware. Vérifiez systématiquement les CVE sur ces solutions, appliquez les correctifs en priorité et envisagez un SIEM pour détecter les comportements d’exfiltration anormaux. → En savoir plus sur nos audits de sécurité

💡 Leçon : Les outils de transfert de fichiers sont des cibles privilégiées des cyberattaques ransomware. Vérifiez systématiquement les CVE sur ces solutions, appliquez les correctifs en priorité et envisagez un SIEM pour détecter les comportements d’exfiltration anormaux. → En savoir plus sur nos audits de sécurité

15. Play (2022–présent) — le discret mais efficace

Période	2022–présent
Type	RaaS / Mouvement latéral furtif
Cible principale	Tous secteurs — 900 entités recensées par le FBI
Méthode	Accès via identifiants compromis, déplacement latéral prolongé (semaines avant chiffrement)
Impact estimé	Actif. ~900 entités impactées selon le FBI (mai 2025).

Play était l’un des groupes les plus actifs de 2024 selon la CISA. Le groupe privilégie les accès via des identifiants compromis, se déplace latéralement dans le réseau pendant des semaines avant de déclencher le chiffrement.

La détection des mouvements latéraux (et non seulement des intrusions initiales) est cruciale contre les ransomwares entreprise. Un SIEM couplé à un SOC actif et à un purple teaming régulier permet de vérifier cette capacité. → Découvrir notre approche purple teaming

💡 Leçon : La détection des mouvements latéraux (et non seulement des intrusions initiales) est cruciale contre les ransomwares entreprise. Un SIEM couplé à un SOC actif et à un purple teaming régulier permet de vérifier cette capacité. → Découvrir notre approche purple teaming

Les ransomwares les plus actifs aujourd’hui (2025–2026)

16. Akira (2023–présent) — la référence actuelle

Période	2023–présent
Type	RaaS / Spécialiste PME et ETI
Cible principale	PME / ETI françaises — tous secteurs
Méthode	Exploitation de VPN non patchés (Cisco AnyConnect, FortiGate), double extorsion, chiffrement rapide
Impact estimé	25 % de part de marché avec RansomHub fin 2024 (Statista). 42 M$ de revenus estimés.

Akira est devenu l’une des principales cybermenaces depuis fin 2023. Le groupe cible particulièrement les PME françaises, exploitant le manque de ressources de défense de ces structures. Ses techniques incluent l’exploitation de VPN non patchés (Cisco AnyConnect, FortiGate) et le chiffrement rapide avec menace de publication.

Vérifiez immédiatement les mises à jour de vos équipements VPN et d’accès distant. C’est le vecteur d’entrée numéro 1 en 2025 pour les PME et ETI françaises. → Découvrir notre offre de SOC managé

💡 Leçon : Vérifiez immédiatement les mises à jour de vos équipements VPN et d’accès distant. C’est le vecteur d’entrée numéro 1 en 2025 pour les PME et ETI françaises. → Découvrir notre offre de SOC managé

17. RansomHub (2024–présent) — le nouveau leader

Période	2024–présent
Type	RaaS / Successeur de LockBit
Cible principale	Tous secteurs — 89 attaques confirmées en 2024
Méthode	Recrutement d’affiliés LockBit expérimentés, conditions attractives (90 % pour l’affilié), multi-OS
Impact estimé	Leader du marché ransomware 2024. Co-détenteur 25 % de part de marché avec Akira.

RansomHub s’est imposé comme le rançongiciel le plus répandu de 2024. Apparu dans le vide laissé par le démantèlement de LockBit, il a rapidement recruté des affiliés expérimentés et proposé des conditions plus attractives (90 % des rançons reversés aux affiliés contre 70–80 % chez la concurrence). Il représente aujourd’hui la principale menace active contre les entreprises françaises.

Le remplacement rapide des acteurs démantelés démontre la résilience du modèle RaaS. La threat intelligence et la veille cyber permanente sont indispensables pour adapter les défenses en temps réel.

💡 Leçon : Le remplacement rapide des acteurs démantelés démontre la résilience du modèle RaaS. La threat intelligence et la veille cyber permanente sont indispensables pour adapter les défenses en temps réel.

18. Qilin (2024–présent) — l’ascension fulgurante

Période	2024–présent
Type	RaaS / Croissance accélérée
Cible principale	Hôpitaux, établissements scolaires, collectivités territoriales
Méthode	Double extorsion, ciblage opportuniste d’organisations à faible maturité cyber
Impact estimé	+47 % d’attaques, 81 incidents en un seul mois (juin 2025) selon Cyfirma.

Selon Cyfirma, Qilin est devenu le groupe le plus actif en juin 2025, avec 81 attaques en un seul mois (+47 %). Le groupe a notamment frappé des hôpitaux, des établissements scolaires et des collectivités territoriales — des organisations souvent sous-dotées en ressources de cybersécurité.

Les organisations publiques et de santé sont des cibles prioritaires pour les groupes RaaS en 2025–2026. La mise en conformité NIS2 et le plan de continuité d’activité (PCA) sont désormais incontournables.

💡 Leçon : Les organisations publiques et de santé sont des cibles prioritaires pour les groupes RaaS en 2025–2026. La mise en conformité NIS2 et le plan de continuité d’activité (PCA) sont désormais incontournables.

19. DragonForce (2024–présent) — la croissance explosive

Période	2024–présent
Type	RaaS / Pression courte durée
Cible principale	Organisations de taille moyenne (ETI)
Méthode	Approche agressive avec délais de pression très courts, double extorsion
Impact estimé	+212 % de croissance des attaques au premier semestre 2025 (Cyfirma).

DragonForce a connu une croissance spectaculaire de 212 % de ses attaques au premier semestre 2025. Le groupe cible des organisations de taille moyenne avec une approche agressive et des délais de pression très courts, laissant peu de temps aux victimes pour préparer une réponse sans payer.

La préparation du plan de reprise d’activité (PRA) et des procédures de réponse aux incidents doit se faire avant l’attaque, pas pendant. Testez votre PRA chaque trimestre.

💡 Leçon : La préparation du plan de reprise d’activité (PRA) et des procédures de réponse aux incidents doit se faire avant l’attaque, pas pendant. Testez votre PRA chaque trimestre.

20. Medusa (2023–présent) — la triple extorsion

Période	2023–présent
Type	Triple extorsion (modèle inédit)
Cible principale	Multi-secteur
Méthode	Chiffrement + publication des données + contact direct des clients de la victime + enchères sur les données
Impact estimé	Actif. Modèle d’extorsion le plus agressif actuellement observé.

Medusa a introduit un modèle de triple extorsion : chiffrement des données, menace de publication ET contact direct des clients et partenaires de la victime pour augmenter la pression. Le groupe offre même aux victimes la possibilité de payer pour retarder la publication, créant un système d’enchères sur les données volées.

La communication de crise et la notification préventive des parties prenantes doivent être préparées en amont dans le plan de réponse aux incidents. Ne laissez pas les attaquants communiquer à votre place.

💡 Leçon : La communication de crise et la notification préventive des parties prenantes doivent être préparées en amont dans le plan de réponse aux incidents. Ne laissez pas les attaquants communiquer à votre place.

Tableau synthétique : les 20 rançongiciels en un coup d’œil

Ransomware	Période	Modèle	Cible	Spécificité	Menace	Impact estimé
CryptoLocker	2013–14	Classique	Grand public	Chiffrement RSA-2048	🔴 Critique	27 M$ rançons
WannaCry	2017	Worm	Tous secteurs	EternalBlue / SMB	🔴 Critique	150 pays, NHS
NotPetya	2017	Wiper	Supply chain	M.E.Doc Ukraine	🔴 Critique	10 Md$ pertes
Ryuk	2018–21	Big game	Santé / Gouv.	Ciblage via TrickBot	🔴 Critique	150 M$+
Maze	2019–20	Double ext.	Grandes ent.	1er site fuite données	🔴 Critique	Pionnier
REvil	2019–22	RaaS	Supply chain	Kaseya, JBS Foods	🔴 Critique	70 M$ demandés
DarkSide	2021	RaaS	Infra. critique	Colonial Pipeline	🔴 Critique	4,4 M$ payés
Conti	2020–22	Entreprise	Tous secteurs	Conti Leaks 2022	🔴 Critique	Costa Rica
Hive	2021–23	RaaS	Santé	Infiltré FBI 7 mois	🟠 Élevé	100 M$ rançons
LockBit	2019–24	RaaS	Tous secteurs	7 000+ att., Op. Cronos	🔴 Critique	Démantelé 2024
BlackCat/ALPHV	2021–24	RaaS	Tech / Santé	Rust, multi-OS	🔴 Critique	Fermé 2024
Royal/BlackSuit	2022–24	Indépendant	Grandes ent.	Sans RaaS, Dallas 2023	🟠 Élevé	1–10 M$/att.
Black Basta	2022+	RaaS	BTP / Santé	Vishing + ingénierie soc.	🟠 Élevé	Actif
Clop	2019+	Zero-day	Transfert fich.	MOVEit 2 700 org.	🔴 Critique	95 M données
Play	2022+	RaaS	Tous secteurs	900 entités FBI, latéral	🟠 Élevé	Actif
Akira	2023+	RaaS	PME / ETI	VPN non patchés	🔴 Critique	42 M$ revenus
RansomHub	2024+	RaaS	Tous secteurs	Successeur LockBit	🔴 Critique	Leader 2024
Qilin	2024+	RaaS	Santé / Public	81 att./mois +47 %	🔴 Critique	Très actif
DragonForce	2024+	RaaS	ETI	Pression ultra-courte +212 %	🔴 Critique	Très actif
Medusa	2023+	Triple ext.	Multi-secteur	Contact direct clients	🔴 Critique	Très actif

Timeline : 15 ans d’évolution des ransomwares (2013–2026)

Les lignes en rouge correspondent aux groupes encore actifs ou dont l’héritage direct menace vos systèmes aujourd’hui.

Année	Groupe	Événement marquant
2013	CryptoLocker	Naissance du ransomware commercial — 27M$ de rançons
2017	WannaCry	Pandémie mondiale, 150 pays, Renault arrêté — exploit EternalBlue
2017	NotPetya	Wiper d’État déguisé, 10 Md$ de dégâts — Maersk, Merck, Saint-Gobain
2018	Ryuk	Big game hunting — hôpitaux et collectivités ciblés spécifiquement
2019	Maze	Invention de la double extorsion — toute l’industrie RaaS va copier
2019	REvil	RaaS professionnel — Kaseya (1 500 victimes en cascade), JBS Foods
2020	Conti	Organisation criminelle structurée — état d’urgence Costa Rica (2022)
2021	DarkSide	Colonial Pipeline — pénuries essence USA, 4,4 M$ payés
2022	LockBit 3.0	7 000+ attaques — leader mondial 5 ans. Démantèlement Op. Cronos (fév. 2024)
2023	Clop / MOVEit	Zero-day sur outil de transfert — 2 700 org., 95 M données compromises
2023	Akira	Spécialiste PME/ETI — 42 M$ revenus, 25 % marché avec RansomHub
2024	RansomHub	Successeur LockBit — 89 attaques, 90 % reversés aux affiliés
2024	Medusa	Triple extorsion + enchères données — modèle inédit
2025	Qilin	81 attaques/mois — +47 %, santé et collectivités FR ciblées
2025	DragonForce	+212 % croissance — pression ultra-courte, ETI françaises

Schéma d’une attaque ransomware : les 5 phases type

Toutes les attaques ransomware documentées par i-lead Sentinel suivent cette séquence. Comprendre chaque étape permet de placer les défenses au bon endroit — et de détecter l’attaque avant le chiffrement.

N°	Phase	Techniques	Groupes types	Défense prioritaire
01	Accès initial	→ VPN non patché (Cisco, FortiGate) → Phishing ciblé / vishing → Identifiants compromis RDP	Akira, RansomHub	Patch VPN + MFA
02	Persistance & latéralisation	→ Cartographie Active Directory → Kerberoasting / Pass-the-Hash → Mouvement latéral (2-21 jours)	LockBit, Play, Ryuk	SIEM + détection AD
03	Exfiltration des données	→ Vol de données sensibles → Transfert vers infra attaquant → Menace de publication (site Tor)	Clop, Medusa, Maze	DLP + CASB + encrypt.
04	Chiffrement & déploiement	→ Chiffrement RSA/AES en minutes → Suppression sauvegardes VSS → Note de rançon multi-canaux	Tous groupes RaaS	Sauvegarde 3-2-1 hors ligne
05	Extorsion & négociation	→ Rançon Bitcoin 1M$-10M$ → Contact direct clients victimes → Enchères données (Medusa)	Medusa, Qilin, DragonForce	PRA + assurance cyber

Top 5 des ransomwares les plus dangereux aujourd’hui (2026)

🔥 Top 5 des ransomwares les plus dangereux en 2026 1. 🥇 RansomHub — Leader du marché 2024, successeur de LockBit, 89 attaques confirmées 2. 🥈 Akira — Spécialiste PME/ETI, 25 % de part de marché, exploite les VPN non patchés 3. 🥉 Qilin — Croissance +47 %, 81 attaques/mois en juin 2025, cible santé et éducation 4. 🔴 DragonForce — Croissance +212 % en 2025, pression ultra-courte, cible les ETI 5. 🔴 Medusa — Triple extorsion, contact direct des clients de la victime, enchères données ⚠️ Ces 5 groupes représentent plus de 50 % des attaques ransomware contre les entreprises françaises en 2025–2026

Comment protéger votre entreprise contre les ransomwares

Après dix ans d’évolution des rançongiciels, certaines leçons se dégagent clairement. La cybersécurité des entreprises n’est plus une option : c’est une condition de survie. Voici les mesures qui font concrètement la différence, validées par l’expérience terrain d’i-lead Sentinel.

Les fondamentaux — protection ransomware immédiate

• Sauvegardes hors ligne testées — la seule garantie de récupération sans paiement. Appliquez la règle 3-2-1 : 3 copies, 2 supports, 1 hors site. Testez la restauration chaque trimestre.
• Mises à jour systématiques — WannaCry, Akira, Clop : tous exploitent des failles pour lesquelles des correctifs existaient. Le patch management est non négociable.
• Authentification multifacteur (MFA) — sur tous les accès distants : VPN, RDP, email, cloud, outils de gestion IT.
• Sensibilisation continue — phishing et vishing. Un exercice de simulation par trimestre au minimum. Intégrez les scénarios téléphoniques (Black Basta, Conti).

La détection active — EDR, SIEM, SOC

• Solution EDR/XDR — pour détecter les comportements suspects avant le déclenchement du chiffrement.
• SIEM et monitoring Active Directory — détection de Kerberoasting, DCSync, Pass-the-Hash. Les attaques comme Ryuk ou LockBit s’appuient sur ces techniques.
• Purple Teaming — pour vérifier que vos défenses détectent réellement les techniques utilisées par ces groupes. → Découvrir notre approche purple teaming

La gouvernance et la conformité NIS2

• Plan de réponse aux incidents (PRI) documenté et testé — qui appeler, quoi isoler, comment communiquer avec les clients et les autorités.
• Plan de continuité d’activité (PCA) et plan de reprise d’activité (PRA) — indispensables pour réduire le temps d’arrêt en cas d’attaque.
• Conformité NIS2 — la directive européenne impose des obligations concrètes en matière de cybersécurité entreprise. → En savoir plus sur le RSSI externalisé
• Assurance cyber — de plus en plus exigée par les partenaires et clients.

FAQ — Ransomwares : vos questions, nos réponses directes

Votre entreprise est-elle vulnérable aux ransomwares ? Faites un diagnostic gratuit de 30 minutes avec un expert i-lead consulting Identification de vos failles critiques (VPN, MFA, sauvegardes) Évaluation de votre exposition aux techniques RaaS, double extorsion, zero-dayPlan d’action immédiat et priorisé 📧 contact@i-leadconsulting.com  |  🌐  https://www.i-leadconsulting.com/

À propos de l’auteur Mohamed Ali Ksouri est Managing Partner et Directeur d’i-leadconsulting, la practice Cybersécurité & Infrastructure d’i-lead Consulting (ESN, ~50 consultants, Lyon et Île-de-France). Spécialisé en cybersécurité offensive et défensive, il accompagne des PME, ETI et grandes organisations françaises sur la protection ransomware, la conformité NIS2 et la gestion de crise cyber. Prestations : Purple Guard SOC managé, audits de sécurité, RSSI externalisé, purple teaming. 🔗 LinkedIn : Mohamed Ali Ksouri | contact@i-leadconsulting.com