Le secteur industriel parvient à stopper plus d’attaques de rançongiciel avant le chiffrement, mais les cybercriminels se recentrent sur l’extorsion de données. Le rapport Sophos 2025 révèle une mutation des menaces : la double extorsion et le vol d’informations sensibles supplantent désormais le chantage classique, imposant aux industriels une vigilance accrue.
L’industrie européenne, historiquement ciblée pour la criticité de ses chaînes de production, a considérablement renforcé ses dispositifs de prévention. Les outils de détection précoce et la professionnalisation des équipes IT limitent désormais la portée des attaques de chiffrement, une évolution tangible documentée dans la dernière enquête menée auprès de 332 entreprises du secteur manufacturier. Cette dynamique s’accompagne cependant d’une contre-offensive menée par des groupes cybercriminels qui privilégient l’extorsion par fuite de données, tirant parti de l’importance stratégique des informations volées pour maximiser la pression sur les victimes.
Une étude Sophos met en lumière un écosystème cyber en recomposition. Alors que le taux de chiffrement tombe à son plus bas niveau depuis cinq ans, la multiplication des attaques orientées vers le vol et la publication de données annonce une nouvelle étape dans la sophistication des menaces. Cette adaptation rapide des adversaires, combinée à des facteurs internes de fragilité, fait de l’anticipation et de la résilience les nouveaux piliers de la sécurité industrielle.
Le chiffrement recule, la double extorsion progresse
En 2025, seulement 40 % des attaques menées contre des entreprises industrielles ont abouti au chiffrement de données, contre 74 % l’année précédente. Cette baisse marque un tournant : la moitié des entreprises sondées affirme avoir stoppé une attaque avant l’activation du chiffrement, soit plus du double par rapport à 2024. Toutefois, la menace ne recule pas pour autant. Les cybercriminels, adaptant leurs modes opératoires, privilégient désormais le vol d’informations et les menaces de divulgation pour obtenir des rançons. Le rapport Sophos souligne une croissance des offensives exclusivement centrées sur l’extorsion, qui passent de 3 % à 10 % en un an. Les groupes Akira, Qilin et PLAY figurent parmi les principaux opérateurs actifs, exploitant pleinement le levier de la double extorsion.
Cette évolution tactique met les industriels face à une pression constante, car plus de la moitié des organisations touchées par un chiffrement finissent par céder à la demande de rançon, le montant moyen versé atteignant un million de dollars, pour une exigence initiale de 1,2 million. Même lorsque le chiffrement est évité, la fuite de données place les victimes dans une facheuse situation, en particulier sur des segments critiques où la confidentialité est aussi stratégique que la continuité d’activité.
Des vulnérabilités internes persistantes
L’efficacité accrue des défenses s’accompagne d’une persistance des angles morts organisationnels. Selon l’étude, 42,5 % des industriels citent le manque d’expertise comme facteur de vulnérabilité, tandis que 41,6 % évoquent l’existence de failles méconnues et 41 % l’insuffisance des protections en place. En moyenne, chaque entreprise identifie trois causes internes ayant contribué à la réussite de l’attaque subie. Le rapport note que, malgré la baisse du taux de chiffrement, 39 % des organisations victimes rapportent aussi un vol de données, l’un des plus hauts taux tous secteurs confondus.
Face à ce contexte, Sophos recommande de renforcer la visibilité continue sur l’ensemble des terminaux, d’adopter des stratégies multicouches et de formaliser des plans de réponse testés régulièrement. Le recours à des services managés de détection et de réponse (MDR) se généralise, permettant d’apporter une expertise externe pour monitorer les menaces en continu et réagir rapidement, même en l’absence de ressources internes spécialisées.
Des impacts humains et financiers majeurs
Le coût moyen de récupération après une attaque, hors paiement de rançon, s’établit à 1,3 million de dollars, en baisse de 24 % par rapport à 2024. Cette amélioration tient à une plus grande rapidité de remise en état : 58 % des entreprises parviennent à restaurer l’intégralité de leurs données en moins d’une semaine, contre 44 % l’année précédente. Cependant, la pression psychologique et managériale s’intensifie : 47 % des industriels signalent une hausse du stress dans les équipes IT et Sécurité après un incident, 44 % font état d’une pression accrue de la part des directions, et 27 % évoquent un changement de management consécutif à l’attaque.
Selon Alexandra Rose, directrice de la recherche sur les menaces chez Sophos, « les cybercriminels exploitent la moindre faille pour s’introduire dans les systèmes industriels, en capitalisant sur la dépendance à la disponibilité continue ». La double extorsion s’impose désormais comme une stratégie de choix : « Les attaquants n’hésitent plus à exfiltrer massivement des données sensibles, puis à les utiliser comme moyen de pression, indépendamment de la réussite du chiffrement. » Cette situation impose aux industriels de rehausser leur niveau de préparation et d’anticipation, tant sur le plan technique qu’humain.
Vers une sécurité industrielle repensée
La cartographie des menaces s’étend : Sophos recense 99 groupes distincts ayant ciblé l’industrie sur l’année écoulée. Les attaques observées mêlent exfiltration et chiffrement, mais aussi sabotage d’infrastructures et pression sur les partenaires de la chaîne d’approvisionnement. Dans ce paysage mouvant, l’agilité défensive devient un impératif. L’application des recommandations de Sophos — suppression proactive des vulnérabilités, protection systématique de tous les équipements, surveillance H24 et formation continue — détermine la capacité des organisations à réduire durablement leur exposition au risque.
Le secteur industriel doit donc conjuguer progrès technologiques et maturité organisationnelle pour répondre à une menace qui évolue aussi vite que les défenses. L’année 2025 acte un déplacement de l’initiative, où la double extorsion, l’ingénierie sociale et l’exploitation des faiblesses humaines s’installent durablement. Cette mutation impose un changement de culture : la cybersécurité industrielle ne relève plus de la simple réaction, mais de l’anticipation stratégique, appuyée sur des données précises et une expertise sans cesse actualisée.
