MtoM Mag - Le journal de l'MtoM.
- accueil .
- newsletter .
Flux RSS . - soumissions .
- publicité .
- contacts
Flux RSS .
Sophos, l’un des premiers éditeurs mondiaux de solutions de sécurité innovantes conçues pour neutraliser les cyberattaques, publie ce jour la cinquième édition de son étude annuelle consacrée au secteur du retail. Intitulée L’état des ransomwares dans le secteur du retail en 2025, cette enquête menée de façon indépendante auprès de responsables IT et Cybersécurité de 16 pays révèle que près de la moitié (46 %) des incidents liés aux ransomwares dans le secteur du retail est attribuée à une faille de sécurité inconnue, soulignant les défis de visibilité qui caractérisent en permanence l’ensemble de la surface d’attaque du secteur. Parmi les enseignes dont les données ont été chiffrées, 58 % ont payé la rançon pour récupérer leurs données, ce qui représente le deuxième taux le plus élevé en cinq ans.
46 % des attaques ont débuté par une faille de sécurité inconnue (principal facteur opérationnel) ;
30 % des attaques ont exploité des vulnérabilités connues (cause première technique la plus couramment utilisée pour la troisième année consécutive) ;
58 % des victimes dont les données ont été chiffrées ont versé la somme demandée ; 48 % des attaques ont abouti à un chiffrement des données, ce qui représente le taux le plus bas en cinq ans ;
Le montant moyen des demandes de rançon a doublé par rapport à 2024 pour atteindre 2 millions de dollars ; le montant moyen des paiements a pour sa part augmenté de 5 % pour s’établir à 1 million de dollars.
Au cours de l’année écoulée, l’équipe Sophos X-Ops a suivi près de 90 groupes de menaces qui ciblaient une ou plusieurs enseignes au moyen d’attaques de ransomwares ou d’extorsions via différents sites de fuite. Les groupes les plus actifs pistés par Sophos à partir de cas de réponse à incidents (IR) ou de gestion et réponse managées (MDR) sont les suivants : Akira, Cl0p, Qilin, PLAY et Lynx. Après les ransomwares, le piratage de comptes est le type d’incident le plus courant observé chez les enseignes du retail. À l’image de nombreux autres secteurs, le retail est régulièrement ciblé par les groupes spécialisés dans l’usurpation d’identité par e-mail professionnel qui cherchent à détourner des paiements ; cette méthode (BEC pour Business Email Compromise) constitue le troisième type d’incident le plus courant.
« Aux quatre coins du monde, les entreprises du retail évoluent dans un paysage des menaces toujours plus complexe et sont confrontées à des adversaires constamment à l’affût des vulnérabilités existantes, essentiellement dans les équipements d’accès à distance et les équipements réseau connectés à Internet. Aujourd’hui, alors que les demandes de rançon atteignent des sommets sans précédent, la nécessité d’appliquer des stratégies de sécurité complètes est encore plus évidente, faute de quoi les retailers risquent de subir des perturbations opérationnelles continues, ainsi qu’une atteinte durable à leur réputation dont la réparation peut nécessiter plusieurs années. Il est toutefois encourageant de constater que nombre d’entreprises commencent à prendre conscience de cette situation et réagissent en investissant en faveur de leur cyberdéfense pour neutraliser les attaques avant qu’elles ne s’intensifient et pour se rétablir plus rapidement », souligne Chester Wisniewski, director, global field CISO, Sophos.
L’expertise limitée disponible en interne représente le deuxième facteur opérationnel le plus courant à l’origine des compromissions (45 %), suivi par les failles dans la couverture de protection (44 %). Sans les compétences et la couverture appropriées, les enseignes du retail éprouvent de grandes difficultés à détecter les attaques et à les neutraliser.
Heureusement, des signes d’amélioration sont également visibles en parallèle à ces défis. Le pourcentage d’attaques stoppées avant le chiffrement a atteint un pic historique sur les cinq dernières années, soulignant que les entreprises du secteur améliorent leur capacité à détecter et à neutraliser rapidement les agressions. Le taux de chiffrement des données a pour sa part atteint son niveau le plus bas depuis cinq ans, seulement 48 % des attaques aboutissant à présent à un chiffrement des données.
S’il a augmenté de 5 % en un an pour atteindre 1 million de dollars en 2025 au lieu de 950 000 dollars en 2024, le montant moyen des versements représente la moitié du montant moyen des rançons demandées ; ces chiffres suggèrent que les enseignes résistent mieux à des demandes de rançons excessives et recherchent potentiellement le concours d’experts pour faire face à ce type d’attaque.
« Pour être fructueux, les programmes de sécurité doivent être axés sur la gestion des risques. Afin de les évaluer et de les gérer au mieux, les enseignes doivent disposer d’une bonne visibilité des menaces auxquelles elles sont exposées, ainsi que de leurs actifs et de leur posture de sécurité. Les entreprises qui associent une gestion rigoureuse des actifs et des correctifs à des services de détection et réponse managés et de gestion managée des risques se protègent mieux et se remettent plus rapidement grâce à une approche proactive de leur cyberdéfense. »
le chiffrement des données est en baisse, mais les adversaires s’adaptent : bien que le taux de chiffrement des données ait atteint son niveau le plus bas en cinq ans, les cyberadversaires s’adaptent. En effet, la proportion d’enseignes exclusivement visées par une tentative d’extorsion a triplé, passant de 2 % en 2023 à 6 % en 2025 ;
l’utilisation de sauvegardes recule : 62 % des détaillants ayant subi une attaque ont récupéré leurs données grâce à une sauvegarde ; c’est le taux le plus bas en quatre ans ;
les retailers résistent aux demandes de rançon : l’étude attentive des demandes de rançon par rapport aux paiements montre que seulement 29 % des enseignes du retail ont déclaré que la somme versée correspondait à la demande initiale. 59 % ont payé une somme inférieure et 11 % une somme plus élevée ;
les coûts de récupération diminuent : il est encourageant de constater que le coût moyen de récupération après une attaque par ransomware — hors paiement de la rançon — a baissé de 40 % au cours de l’année écoulée pour atteindre 1,65 million de dollars, son niveau le plus bas depuis trois ans ;
les attaques par ransomware ont un impact direct sur les équipes : près de la moitié (47 %) des équipes IT/Cybersécurité du secteur déclarent avoir subi une pression accrue suite au chiffrement des données ; dans un quart des cas (26 %), cette situation a mené au remplacement des équipes de direction.
Fort de l’expérience acquise dans la protection des entreprises du retail à travers le monde, Sophos préconise les bonnes pratiques suivantes afin de les aider à conserver une longueur d’avance sur les ransomwares et autres cybermenaces :
éradiquer les causes premières : prendre des mesures proactives pour éliminer des faiblesses techniques et opérationnelles courantes que les adversaires ciblent fréquemment (vulnérabilités exploitées, par exemple). Des solutions telles que Sophos Managed Risk peuvent aider les entreprises à évaluer leur exposition et à réduire les risques dans l’ensemble de leur environnement.
défendre chaque systèmes endpoint : faire en sorte que tous les terminaux, serveurs compris, sont protégés à l’aide de défenses anti-ransomware dédiées pour empêcher les attaques de s’implanter.
planifier et se préparer : établir et tester régulièrement un plan complet de réponse aux incidents. Maintenir des sauvegardes fiables et tester régulièrement les méthodes de restauration des données afin de minimiser les temps d’arrêt en cas d’attaque.
surveiller H24 : une visibilité continue est primordiale. Les entreprises dépourvues de ressources internes peuvent renforcer leur résilience en faisant appel à un prestataire de services de détection et de réponse managés (MDR) de confiance pour assurer une surveillance des menaces 24/7 et bénéficier d’une capacité de réponse experte.
