Dans mon dernier article, je vous ai parlé de la menace qui vient de l'intérieur, le shadow AI, ces employés bien intentionnés qui exposent vos données sans le savoir. Aujourd'hui, parlons de celle qui vient de l'extérieur. Et qui a beaucoup changé depuis la dernière fois que vous vous y êtes intéressé.

Ce que vous croyez savoir

Imaginez un cambrioleur. Il entre chez vous, il met un cadenas sur votre coffre-fort et il vous dit : « Payez-moi et je vous donne la clé. »

C'est la version 2019 du rançongiciel. Et c'est probablement l'image que la plupart des dirigeants ont encore en tête.

La version 2025 ressemble à ceci : le cambrioleur entre chez vous, photographie chaque document dans votre coffre-fort, copie les clés de vos clients, note vos secrets commerciaux. Puis il vous dit : « Payez-moi ou je publie tout. Et si vous ne payez pas assez vite, j'appelle vos clients pour les informer personnellement. »

C'était un problème informatique, c'est maintenant un problème d'affaires.

Les chiffres qui ont changé la donne

Le rançongiciel est présent dans 44 % de toutes les brèches de données en 2025, une hausse de 37 % par rapport à l'année précédente (Verizon DBIR 2025). Mais c'est le chiffre suivant qui devrait retenir l'attention de votre comité de direction : 88 % des brèches dans les PME impliquent un rançongiciel. Pas les grandes entreprises avec leurs budgets de 50 millions en cybersécurité. Les PME. Les organisations de votre taille.

Et voici le paradoxe : pendant que les attaques explosent, les paiements s'effondrent. Selon Verizon, 64 % des victimes refusent maintenant de payer la rançon, un renversement complet par rapport au 50 % d'il y a deux ans. IBM arrive à un constat similaire : 63 % de refus, en hausse par rapport à 59 % l'année précédente. En troisième trimestre 2025, Coveware rapportait même un taux de paiement de seulement 23 %.

Pourquoi? Parce que les organisations qui investissent dans leurs sauvegardes, leurs plans de réponse et leur capacité de détection réalisent qu'elles peuvent se relever sans financer les criminels. La morale n'est pas que la menace diminue. C'est que la préparation fait la différence.

La triple extorsion : le nouveau modèle d'affaires criminel

Les attaquants se sont adaptés. Si vous ne payez pas pour récupérer vos fichiers, ils ont d'autres leviers.

La première couche reste le chiffrement, vos systèmes sont verrouillés, vos opérations s'arrêtent. La deuxième couche, c'est l'exfiltration : avant de chiffrer quoi que ce soit, ils ont déjà copié vos données sensibles. Ils menacent de les publier sur un site de divulgation accessible à vos concurrents, vos clients et vos régulateurs. La troisième couche, c'est la pression directe : appels aux clients, notification aux médias, saturation de vos services en ligne pour maximiser la panique.

En 2025, près du tiers des attaques utilisaient ce modèle de triple extorsion. Certains groupes vont encore plus loin : ils utilisent des voix clonées par intelligence artificielle pour appeler directement les dirigeants et augmenter la pression.

Mercredi matin, 7 h 15

Vous êtes VP opérations d'un manufacturier québécois de 350 employés. Votre directeur de production vous appelle. Le système de gestion de production ne répond plus. Personne ne peut accéder aux bons de commande, aux calendriers de livraison, aux spécifications techniques.

À 8 h, les TI confirment : rançongiciel. Le groupe est dans vos systèmes depuis trois à quatre jours (Sophos Active Adversary). Pendant ce temps, ils ont tout exploré : dessins techniques, listes de prix, contrats clients, base de données RH avec les NAS de vos 350 employés.

À 9 h 30, la note de rançon. Deux millions en crypto. Compte à rebours de 72 heures. Et un lien vers un site où des échantillons de vos fichiers sont déjà publiés, pour prouver qu'ils ne bluffent pas.

La réalité : vos sauvegardes fonctionnent, mais la restauration prendra cinq à sept jours. Pendant ce temps, pas de production, pas de livraisons, pas de facturation. Et même si vous restaurez tout, les données volées sont toujours entre leurs mains.

Ce que ça coûte vraiment

La rançon fait la manchette, mais c'est le coût de rétablissement qui fait mal. Le paiement médian a chuté de moitié, passant de 2 millions à 1 million US (Sophos State of Ransomware 2025). Pour les PME, la demande médiane est sous les 350 000 $, calibrée pour que ça semble « raisonnable ».

Mais la rançon n'est jamais le vrai coût. Le coût moyen de rétablissement, sans la rançon, est de 1,53 M$ US (Sophos). Pour les PME de 100 à 250 employés : 638 536 $. 97 % des organisations touchées récupèrent leurs données, et 53 % le font en moins d'une semaine, contre 35 % l'année précédente (Sophos).

Ordre de grandeur pour notre manufacturier de 350 employés : 12 000 dossiers d'employés et clients x 168 $/dossier (IBM Cost of a Data Breach 2025) = environ 2,0 M$. Ce chiffre est basé sur le coût moyen par dossier dans les études IBM, pas un barème précis. Ajoutez cinq à sept jours d'arrêt de production, les honoraires juridiques, la forensique informatique, les notifications aux personnes touchées, et le coût d'un programme de surveillance du crédit pour 350 employés.

Et les coûts humains ne sont pas évalués dans ces chiffres. Le stress des équipes TI qui travaillent jour et nuit pendant une semaine. L'anxiété des employés dont les données personnelles circulent sur le dark web.

Comment ils entrent, et pourquoi c'est souvent évitable

Les trois vecteurs d'entrée principaux en 2025 (Sophos) : les vulnérabilités exploitées (32 %), les courriels malveillants (23 %) et les identifiants compromis (20 %). Ensemble, ces trois vecteurs représentent 75 % des attaques.

Le point commun? Les trois facteurs organisationnels les plus souvent liés aux attaques sont les lacunes dans les journaux de sécurité (40 %), les failles connues mais non corrigées (40 %) et le manque de personnel qualifié (39 %) (Sophos).

Ce ne sont pas des organisations incompétentes. Ce sont des organisations qui manquent de ressources, de temps et d'expertise spécialisée. Exactement le profil d'une PME de 150 à 400 employés.

La Loi 25 dans tout ça

Si l'incident présente un risque de préjudice sérieux, la Loi 25 (entrée en vigueur par phases entre 2022 et 2024) oblige votre organisation à aviser la Commission d'accès à l'information (CAI) et les personnes concernées avec diligence. Et à consigner l'incident au registre des incidents.

Notre manufacturier avec 350 NAS volés? C'est un incident à déclarer. Et les sanctions potentielles ne sont pas symboliques : jusqu'à 10 M$ ou 2 % du chiffre d'affaires mondial pour les sanctions administratives, et jusqu'à 25 M$ ou 4 % du chiffre d'affaires mondial pour les sanctions pénales.

Le piège spécifique au rançongiciel : même si vous récupérez vos données grâce à vos sauvegardes et que vous ne payez pas la rançon, les données exfiltrées constituent potentiellement un incident à déclarer si elles contiennent des renseignements personnels et que l'évaluation révèle un risque de préjudice sérieux. Vos sauvegardes vous sauvent des opérations, pas de vos obligations légales.

Trois questions à poser à votre équipe TI cette semaine

Quand avons-nous testé notre restauration de sauvegardes pour la dernière fois? Pas « est-ce qu'on a des sauvegardes », mais « est-ce qu'on a vérifié qu'on peut les restaurer, et en combien de temps? »

Quels systèmes sont exposés à Internet sans protection? Les vulnérabilités exploitées sont le premier vecteur d'attaque. Si vous avez des systèmes accessibles depuis Internet sans correctifs à jour, c'est une porte ouverte.

Avons-nous un plan de réponse aux incidents que l'équipe connaît? Un plan que les gens ont lu, qu'on a testé, et qui dit clairement qui fait quoi quand tout s'arrête.

Votre organisation est-elle prête?

Mario Bouchard, M. Adm., CISSP -- Président, InfoSec Sécurité de l'information Inc., firme de consultation stratégique en cybersécurité basée à Québec. Avec plus de 30 ans d'expérience en cybersécurité, il accompagne les CISO et leaders TI pour faire de la cybersécurité un accélérateur de livraison plutôt qu'un frein.

Sources

Verizon -- 2025 Data Breach Investigations Report (DBIR). Rançongiciel présent dans 44 % des brèches (+37 %). PME : 88 % des brèches impliquent un rançongiciel. 64 % des victimes refusent de payer (vs 50 % deux ans auparavant). Tiers impliqués dans 30 % des brèches (doublé de 15 %). verizon.com/dbir
IBM -- Cost of a Data Breach Report 2025. 63 % des victimes refusent de payer (vs 59 % l'année précédente). Coût moyen par dossier compromis : 168 $. ibm.com/security/data-breach
Sophos -- The State of Ransomware 2025. Coût moyen de rétablissement (sans rançon) : 1,53 M$ US. PME 100-250 employés : 638 536 $. Paiement médian : 1 M$ (en baisse de 50 %). Vecteurs : vulnérabilités exploitées (32 %), courriels malveillants (23 %), identifiants compromis (20 %). Facteurs organisationnels : lacunes dans les journaux (40 %), failles non corrigées (40 %), manque de personnel (39 %). 97 % récupèrent leurs données; 53 % en moins d'une semaine (vs 35 %). Extorsion sans chiffrement : 6 % (doublé vs 2024). sophos.com/ransomware
Sophos -- It's Oh So Quiet (?): The Sophos Active Adversary Report. Temps de présence médian des attaquants : 3-4 jours. sophos.com/active-adversary
Coveware -- Ransomware Payment Trends Q3 2025. Taux de paiement à un plancher historique de 23 %. Seulement 19 % pour les incidents de vol de données sans chiffrement.
Loi 25 -- Loi sur la protection des renseignements personnels dans le secteur privé, Québec. Entrée en vigueur par phases (2022-2024). Sanctions administratives : jusqu'à 10 M$ ou 2 % du chiffre d'affaires mondial. Sanctions pénales : jusqu'à 25 M$ ou 4 % du chiffre d'affaires mondial. Obligations de notification avec diligence lors de risque de préjudice sérieux, tenue d'un registre des incidents, évaluation des facteurs relatifs à la vie privée, et mesures de sécurité proportionnelles.