MtoM Mag - Le journal de l'MtoM.
- accueil .
- newsletter .
Flux RSS . - soumissions .
- publicité .
- contacts
Flux RSS .
Flare, leader du Threat Exposure Management, publie les résultats d’une analyse détaillée, portant sur 500 enregistrements de fuites de données liés au ransomware SafePay. Cette étude met en lumière une stratégie de ciblage méticuleuse visant les entreprises à même de payer une rançon, mais dans l’incapacité de supporter une interruption prolongée de leur activité.
Apparu fin 2024, le groupe SafePay a connu une croissance rapide et a gagné en dangerosité tout au long de 2025, s’imposant comme l’un des acteurs les plus actifs du paysage cybercriminel. Son mode opératoire repose sur un modèle de double extorsion : exfiltration de données sensibles, chiffrement des systèmes afin de paralyser les opérations, puis publication des informations sur des sites hébergés sur Tor en cas d’échec des négociations.
Contrairement aux idées reçues, les grandes entreprises ne constituent pas les cibles prioritaires de SafePay. L’analyse révèle que :
Plus de 90 % des victimes sont des PME, dont 58 % comptent moins de 50 employés.
66 % des entreprises touchées appartiennent au secteur des services, notamment dans les domaines juridique /comptable (26%), de la santé (22%) et de l’industrie (18%), de l’IT (12%), du retail (11%), des services publiques (6%), ...
La majorité des entreprises ciblées sont des acteurs locaux ou régionaux (64 %), tandis que 28 % opèrent à l’échelle nationale et seulement 8 % sont des multinationales.
Ces entreprises sont spécifiquement ciblées en raison de leur dépendance critique à leurs systèmes informatiques et de la sensibilité des données qu’elles traitent, créant des leviers de pression idéaux pour l’extorsion.
L’étude met également en évidence une forte concentration géographique des victimes en Amérique du Nord (41 %) et en Europe de l’Ouest (38 %), avec une prédominance aux États-Unis et en Allemagne. Les régions soumises à des cadres réglementaires stricts (RGPD, NIS2, HIPAA, …) sont délibérément visées. Les cybercriminels exploitent le risque d’exposition publique et le poids des sanctions réglementaires potentielles comme des outils de coercition pour accélérer le paiement des rançons.
Les données liées à SafePay fonctionnent comme une véritable « couche de divulgation fantôme ». De nombreux incidents, à l’image de l’effondrement de la société britannique KNP Logistics provoqué par un simple mot de passe faible, ne deviennent visibles qu’à travers leurs conséquences opérationnelles ou juridiques, sans jamais faire l’objet d’une déclaration officielle. Comme le souligne l’ENISA, les incidents signalés ne représentent que « la partie émergée de l’iceberg ».
Vers une défense proactive de la cybersécurité
L’accès aux données de fuites de Flare permet aux professionnels de la sécurité de :
1. Évaluer l’hygiène cyber des tiers : identifier les fournisseurs ayant des antécédents d’exposition, même non déclarés.
2. Réaliser des audits de fusions-acquisitions : vérifier l’intégrité des données et l’historique de ransomware d’une cible.
3. Affiner les modèles d’assurance cyber : améliorer l’évaluation du risque au-delà des contrôles auto-déclarés.
