64% des victimes de ransomware ont refusé de payer en 2025. Et pourtant, les attaques ont augmenté de 45%. Quelqu’un peut m’expliquer pourquoi on continue de traiter le ransomware comme le problème central ?
Parce que c’est vendeur. Pas parce que c’est juste.
À retenir
Le vrai enseignement de 2026, c’est la convergence des menaces et l’effondrement des temps de réaction. Les 193 000 packages malveillants identifiés cette année n’ont pas reçu de CVE — autrement dit, ils n’apparaissent dans aucun scanner de vulnérabilités standard. Le tiers de toutes les brèches implique désormais un prestataire ou partenaire externe, selon le DBIR : votre surface d’attaque, ce ne sont plus seulement vos systèmes, c’est tout l’écosystème qui y touche. Et les identifiants compromis restent le vecteur d’accès initial numéro un — 22% des cas — ce qui signifie que la couche humaine reste la plus poreuse, peu importe combien vous dépensez en outils.
Ce que les chiffres ne disent pas
Le Verizon DBIR 2025 a analysé 12 195 brèches confirmées dans 139 pays — le plus grand dataset de son histoire. Ransomware présent dans 44% des cas, hausse de 37% sur un an. Impressionnant sur le papier. Sauf que le rapport pointe aussi autre chose, bien moins relayé : l’exploitation de failles dans les équipements réseau edge a été multipliée par 8 en un an, passant de 3% à 22% des vecteurs d’intrusion initiaux. Huit fois. En douze mois.
Personne n’en parle parce que ça ne se packague pas en solution commerciale élégante.
La grande illusion du classement
On aime les catégories. Virus, ver, rootkit, spyware — ces appellations ont quelque chose de rassurant, presque d’académique. Elles donnent l’impression de maîtriser quelque chose.
J’ai appris ça à mes dépens en 2022, quand j’ai conseillé à un client e-commerce de se concentrer sur la protection anti-ransomware après audit. Trois mois plus tard, il se faisait plier par un infostealer hybride combinant cheval de Troie, keylogger et module de cryptojacking dans le même payload. La taxonomie ne nous avait servi à rien. La menace réelle ne rentrait dans aucune case.
En 2026, le paysage est encore plus fragmenté. L’ANSSI elle-même évoque désormais un “brouillard technologique et organisationnel” où les frontières entre acteurs étatiques et cybercriminels s’effacent. Quand les États partagent leurs outils avec le crime organisé, vos catégories de menaces ne valent plus grand-chose.
Est-ce que votre modèle de risque intègre ça ?
Ce que personne ne veut admettre sur les ransomwares
Le rapport KELA State of Cybercrime 2026 documente 7 549 victimes de ransomware dans le monde — hausse de 45%. En parallèle, l’ANSSI observe en France une légère baisse des compromissions ransomware (128 en 2025 contre 141 en 2024), mais une explosion de +51% des exfiltrations de données. Les attaquants changent de modèle : plutôt que chiffrer et espérer une rançon que la victime refuse de verser, ils volent et monétisent autrement — revente, chantage direct, pression médiatique.
Voilà ce qui se passe vraiment. Le ransomware classique devient moins rentable. Alors il mute.
Les PME et TPE françaises absorbent 48% des attaques par rançongiciel, les établissements de santé 8% — en hausse. Ce ne sont pas les grandes entreprises avec des SOC à 50 personnes qui trinquent le plus. Ce sont ceux qui n’ont pas les moyens de se défendre.
L’IA : arme offensive, bouclier percé
En mars 2026, une opération coordonnée par INTERPOL dans 72 pays a démantelé 45 000 IPs et serveurs malveillants liés à des écosystèmes de phishing et ransomware, aboutissant à 94 arrestations. Impressive. Et pourtant, dès la semaine suivante, Microsoft patchait 82 vulnérabilités dont plusieurs exploitées activement dans des attaques IA-driven.
La course est asymétrique. Le temps d’exploitation d’une faille est passé de 63 jours à 5 jours en l’espace de quelques années. Cinq jours entre la publication d’un CVE et son exploitation active dans la nature. Le temps que votre équipe IT valide le patch en production, vous êtes déjà dedans.
Voici la deuxième anecdote que je voulais vous raconter. Un confrère consultant, rigoureux, convaincu que ses workflows IA internes étaient “cloisonnés”. Découverte en février : un plugin tiers injectait des instructions dans ses prompts pour exfiltrer des bribes d’échanges clients vers un serveur externe. Pas un virus au sens classique. Aucun antivirus ne l’aurait détecté. Zéro signature, zéro comportement fichier anormal. Juste de la manipulation de contexte à l’intérieur d’un LLM.
La CISA documente des menaces similaires avec le malware RESURGE, conçu pour persister silencieusement sur des systèmes compromis et rester dormant jusqu’à ce qu’un acteur distant se connecte — conçu précisément pour échapper aux scans de routine.
Vos outils surveillent quoi, exactement ?
Alors, qu’est-ce qu’on fait vraiment ?
J’ai arrêté de recommander les suites de sécurité all-in-one. Pas parce qu’elles sont inutiles — elles restent nécessaires. Mais parce qu’elles créent une illusion de couverture qui endort la vigilance sur les angles morts : les vecteurs sans CVE, les dépendances tierces, les comportements IA non supervisés.
Ce que je pousse aujourd’hui : une segmentation des risques par vecteur réel plutôt que par type de malware, une surveillance comportementale des processus au lieu de la détection par signature, et une culture d’hygiène numérique qui ne repose pas sur un outil mais sur des réflexes ancrés. L’erreur humaine était impliquée dans 68% des brèches selon le DBIR. Aucun antivirus ne résout ça.
La vraie question n’est pas “de quel malware vais-je être victime ?”. C’est : est-ce que mon architecture de défense a été pensée pour 2026, ou pour 2018 avec un habillage neuf ?
Parce qu’en 2026, le mail de phishing qui contourne votre filtre est écrit par une IA, envoyé depuis un compte SharePoint légitime compromis, et exploite une faille que votre scanner ne connaît pas encore. Vous avez cinq jours.
