Louer un ransomware pour 40 €/mois : la cyberattaque à portée de n'importe qui

Imaginez : un jeune de 22 ans, sans aucune compétence en programmation, paie 200 dollars par mois pour un abonnement en ligne. Quelques clics plus tard, tout le système informatique d’un hôpital suisse est paralysé. La rançon exigée s’affiche à l’écran, signée DragonForce — un nom que la victime n’a jamais entendu, mais que les experts en cybersécurité connaissent bien. Bienvenue dans l’ère du Ransomware-as-a-Service (RaaS), où le crime informatique fonctionne exactement comme un abonnement SaaS classique.

En 2026, il n’est plus nécessaire d’être un génie du code pour lancer une cyberattaque dévastatrice. Les kits de ransomware se louent dès 40 dollars par mois sur le dark web, avec tableau de bord, support client et même des garanties « pas de rançon, pas de frais ». Le cybercrime s’est industrialisé — et votre PME est en première ligne.

Le supermarché du cybercrime : comment fonctionne le RaaS

Le principe est d’une simplicité redoutable. D’un côté, des développeurs créent et maintiennent des logiciels de ransomware sophistiqués. De l’autre, des « affiliés » — souvent sans compétences techniques — louent ces outils pour mener des attaques. C’est le même modèle que Spotify ou Salesforce, mais appliqué à l’extorsion numérique.

Concrètement, plusieurs formules coexistent sur le marché noir :

• L’abonnement mensuel : dès 40 $/mois, l’affilié accède à un kit complet — malware, notes de rançon personnalisables, tableau de bord de suivi — et conserve 100 % des rançons perçues.
• Le partage de revenus : le modèle le plus répandu, où l’opérateur prélève 20 à 40 % de chaque rançon payée. L’affilié ne paie rien au départ.
• La licence unique : un paiement one-shot pour un accès illimité aux outils.

Selon l’ISC2, pour un investissement d’à peine 250 dollars par mois, un utilisateur de RaaS peut espérer gagner jusqu’à 21 000 dollars par infection réussie. Un retour sur investissement que peu de business légitimes peuvent égaler.

« Les kits RaaS sont faciles à trouver sur le dark web, où ils sont promus exactement comme des produits légitimes sur le web classique. » — CrowdStrike

Le groupe DragonForce, l’un des acteurs les plus actifs en 2025, a poussé le modèle encore plus loin en se proclamant « cartel du ransomware ». Il propose à ses affiliés des kits en marque blanche : chaque attaquant peut créer sa propre « marque » de ransomware, compiler ses propres logiciels et personnaliser ses notes de rançon. Le tout avec une commission de seulement 20 %, inférieure à celle de la plupart des concurrents. Résultat : plus de 200 victimes exposées depuis fin 2023, dans des secteurs aussi variés que la santé, l’aérospatiale ou le commerce de détail.

Pourquoi votre PME est la cible idéale

Contrairement à ce qu’on pourrait croire, les grandes entreprises ne sont pas les principales victimes. Les chiffres sont sans appel : selon le rapport Verizon 2025, le ransomware est impliqué dans 88 % des violations de données affectant les PME, contre 39 % pour les grandes organisations. Plus des deux tiers des attaques entre 2024 et 2025 ont ciblé des entreprises de moins de 500 employés.

Pourquoi un tel acharnement ? Les raisons sont cruellement logiques :

• Des défenses limitées : peu de PME disposent d’un responsable sécurité dédié ou d’outils de détection avancés.
• Une propension à payer : sans plan de sauvegarde solide, la rançon semble souvent être la seule option pour reprendre l’activité.
• Un volume rentable : plutôt qu’une grosse cible bien protégée, les attaquants préfèrent des dizaines de petites proies faciles.

Les conséquences sont dévastatrices. Selon les données de Total Assure, les pertes moyennes atteignent 120 000 dollars par incident pour une petite entreprise, et 60 % des PME victimes d’une cyberattaque ferment dans les six mois. L’étude de Mastercard confirme cette tendance : près d’une PME sur cinq ayant subi une cyberattaque a dû déposer le bilan ou fermer ses portes.

« Le ransomware est impliqué dans 88 % des violations de données chez les PME, contre seulement 39 % pour les grandes entreprises. » — Verizon DBIR 2025

À l’échelle mondiale, les dégâts sont colossaux. En 2025, les coûts mondiaux liés aux ransomwares sont estimés à 57 milliards de dollars, et le coût moyen d’une attaque atteint 5,08 millions de dollars selon IBM. En Allemagne, les cyberattaques ont causé 178,6 milliards d’euros de dommages économiques en 2024.

L’écosystème en pleine mutation : les acteurs de 2025-2026

Le paysage du RaaS est en constante évolution. Après le démantèlement de LockBit par l’opération Cronos en 2024 — alors responsable de 20 à 30 % de toutes les publications de victimes sur les sites de fuites — le groupe a resurgi en septembre 2025 avec LockBit 5.0. Les analyses de LockBit ont révélé une stratégie agressive de recrutement de « novices du ransomware », avec des affiliés inexpérimentés pratiquant des négociations maladroites et des demandes de rançon anormalement basses.

Parallèlement, de nouveaux groupes prolifèrent. Au troisième trimestre 2025, Check Point Research suivait 85 sites de fuites de données, dont 14 nouveaux groupes apparus en un seul trimestre. Parmi les noms à surveiller : Qilin (capable de 81 attaques en un seul mois), Akira (215 victimes répertoriées), et le modèle de « cartel » de DragonForce, qui permet à ses affiliés d’opérer de manière semi-indépendante.

La tendance inquiétante de 2025 : l’extorsion sans chiffrement. Dans 6 % des attaques, les criminels volent simplement les données et menacent de les publier — sans même prendre la peine de crypter les systèmes. C’est du chantage pur, plus rapide et plus difficile à détecter.

Se protéger concrètement : le guide de survie pour PME

La bonne nouvelle ? Vous n’avez pas besoin d’un budget de multinationale pour vous défendre. Voici les actions prioritaires, applicables dès aujourd’hui :

1. La règle 3-2-1 pour les sauvegardes Conservez 3 copies de vos données, sur 2 supports différents, dont 1 hors ligne (déconnecté du réseau). Les ransomwares modernes cherchent activement les sauvegardes connectées pour les chiffrer aussi. Testez vos restaurations chaque mois — une sauvegarde qui ne fonctionne pas n’est pas une sauvegarde.

2. L’authentification multifacteur (MFA) partout Activez la MFA sur tous vos comptes professionnels : messagerie, cloud, VPN, outils de gestion. C’est gratuit sur la plupart des services et cela bloque la majorité des tentatives d’accès frauduleux. Selon le World Economic Forum, 95 % des violations sont attribuables à une erreur humaine.

3. Former vos équipes au phishing Le phishing reste le vecteur d’attaque numéro un. Organisez des simulations régulières et apprenez à vos collaborateurs à repérer les emails suspects. Cinq minutes de vigilance peuvent éviter des mois de galère.

4. Segmenter votre réseau Ne laissez pas un seul poste infecté contaminer tout votre système. Séparez les accès : la comptabilité n’a pas besoin d’accéder aux serveurs de production, et inversement.

5. Mettre à jour sans attendre Les groupes comme DragonForce exploitent des failles connues (Log4Shell, vulnérabilités VPN). Les correctifs existent souvent depuis des mois — encore faut-il les appliquer. Activez les mises à jour automatiques partout où c’est possible.

6. Préparer un plan de réponse Que ferez-vous le jour où l’écran affichera une demande de rançon ? Définissez les rôles, les contacts d’urgence, la procédure de restauration. Et souvenez-vous : signaler aux autorités permet d’économiser en moyenne 1 million de dollars sur le coût total d’un incident.

À retenir

• Le Ransomware-as-a-Service permet à n’importe qui de lancer une attaque dès 40 $/mois, sans compétences techniques.
• Les PME sont les cibles privilégiées : 88 % des violations de données les concernant impliquent un ransomware.
• 60 % des petites entreprises victimes ferment dans les six mois suivant l’attaque.
• Le coût mondial du ransomware atteint 57 milliards de dollars en 2025.
• Des groupes comme DragonForce proposent des kits « clé en main » avec marque blanche et support technique.
• Les défenses essentielles — sauvegardes 3-2-1, MFA, formation au phishing, mises à jour — sont accessibles à toutes les entreprises.
• Signaler une attaque aux autorités fait économiser en moyenne 1 million de dollars.

Le cybercrime ne cible plus seulement les géants de la tech ou les gouvernements. Avec un abonnement moins cher qu’une sortie au restaurant, n’importe qui peut tenter de paralyser votre activité. La question n’est plus si vous serez ciblé, mais quand. Autant être prêt.

Photo : Sora Shimazaki via Pexels