Quand un ransomware frappe, le risque de récidive explose : attaques à répétition, rançons multipliées rappellent que la résilience doit s’ancrer dans des défenses solides et continues. Un nouveau rapport Barracuda met en lumière ce risque de récidive avec quelques chiffres édifiants, même si la France se révèle plutôt bon élève.
Survivre à une première cyberattaque par ransomware ne garantit en rien d’être à l’abri d’une seconde, parfois dans les semaines ou mois qui suivent, même voire surtout s’il on a payé une rançon pour redémarrer l’activité. Les cybercriminels, souvent organisés en réseaux structurés, exploitent les failles laissées béantes après un incident initial, ou revendent l’accès au système compromis à d’autres groupes. L’éditeur Barracuda s’est justement intéressé à ces « attaques récidives ».
Un chiffre claque d’emblée : près d’une organisation sur trois a subi plusieurs attaques par ransomware en douze mois. Derrière ce taux de récidive de 31 % se cache moins une fatalité qu’un symptôme : celui de défenses morcelées et de maillons faibles qui perdurent dans le temps, offrant aux cybercriminels des opportunités de retour. « Les ransomwares demeurent une menace persistante et lucrative, exploitant impitoyablement la complexité sécuritaire et les lacunes de couverture », souligne le nouveau rapport de Barracuda, mené avec Vanson Bourne auprès de 2 000 décideurs IT et sécurité en Amérique du Nord, en Europe et en Asie-Pacifique entre avril et mai 2025 .
Cette répétition d’attaques n’est pas seulement technique : elle joue aussi sur le plan psychologique et économique, car une entreprise déjà fragilisée est perçue comme plus encline à payer. Comprendre ce phénomène, c’est plonger au cœur d’un cercle vicieux où la faiblesse perçue devient une opportunité, et où la résilience ne se mesure pas seulement à la capacité de restaurer ses données, mais à celle de rompre définitivement la chaîne de vulnérabilités qui attire les attaquants.
L’étude confirme l’ampleur du phénomène : 57 % des établissements interrogés ont été touchés au moins une fois sur l’année écoulée, avec des pics dans la santé (67 %) et les collectivités locales (65 %). Autrement dit, les secteurs en première ligne opérationnelle — hôpitaux, administrations — restent des cibles privilégiées, là où l’interruption de service pèse immédiatement sur l’activité et la réputation .
La France fait figure d’exception par son comportement face au chantage : seules 10 % des victimes hexagonales déclarent avoir payé, contre 32 % en moyenne dans le monde. Et pour cause : 63 % des entreprises françaises qui ont cédé n’ont pas récupéré leurs données, validant une leçon désormais largement partagée : le versement d’une rançon n’offre aucune garantie. À l’inverse, 72 % des organisations touchées dans l’Hexagone ont restauré via leurs sauvegardes, preuve qu’une stratégie de backup robuste reste l’assurance-vie la plus fiable en cas d’incident .
Les DSI doivent aussi composer avec la mutation des modes opératoires. Les attaques ne se résument plus au seul chiffrement : un quart environ des incidents impliquent l’encryptage (24 %), mais presque autant relèvent du vol (27 %) et de la publication de données (27 %), sans oublier l’infection par d’autres charges malveillantes (29 %) et l’installation de portes dérobées pour durer dans le temps (21 %). Cette diversification accroît le spectre des impacts : au-delà de la réputation (41 % des victimes), les entreprises évoquent la perte d’opportunités commerciales (25 %) et des pressions ciblant partenaires, actionnaires, clients (22 %)… et même les employés (16 %) .
Le maillon e-mail demeure critique. Le rapport pointe une couverture insuffisante : moins de la moitié des victimes des 12 derniers mois disposaient d’une solution de sécurité e-mail (47 %), contre 59 % chez les non-victimes.
Et la corrélation est forte : 71 % des organisations ayant subi une violation e-mail ont également été frappées par un ransomware.
Le message est on ne peut plus clair pour les DSI et les RSSI : renforcer la chaîne e-mail (filtrage avancé, détection d’usurpation, formation anti-phishing) est un levier immédiat de réduction du risque .
Une rapport qui rappelle que la résilience ne se décrète pas : elle se construit en s’attaquant aux angles morts. Ce qui impose d’investir avec constance dans des briques consolidées – sauvegardes testées, sécurité e-mail durcie, supervision et réponse étendues – pour tarir, enfin, le flux des retours de flamme.
puis