Comment fonctionne l'extorsion de données, et pourquoi elle a remplacé les rançongiciels
Les attaques par extorsion de données contournent complètement le chiffrement, en volant des fichiers sensibles et en menaçant de les publier si les victimes ne paient pas. Avec une augmentation de onze fois du nombre d'incidents, cette tactique dépasse rapidement les rançongiciels traditionnels.
Une nouvelle forme de menace cybernétique
Pendant des années, les rançongiciels ont dominé le paysage de la cybercriminalité : les attaquants chiffraient les fichiers d'une victime, puis exigeaient un paiement pour la clé de déchiffrement. Mais une tactique plus discrète et plus efficace l'a dépassée. Dans l'extorsion de données, les criminels contournent complètement le chiffrement. Ils volent des fichiers sensibles (secrets commerciaux, dossiers d'employés, bases de données clients, courriels internes) et menacent de les publier ou de les vendre si la victime ne paie pas.
Le changement est radical. Selon le rapport sur les menaces 2025 d'Arctic Wolf, les incidents d'extorsion de données uniquement ont augmenté onze fois d'une année sur l'autre, passant de 2 % à 22 % de tous les engagements de réponse aux incidents. Des groupes comme ShinyHunters, Silent Ransom et le nouveau venu PEAR se concentrent désormais exclusivement sur le vol de données plutôt que sur le verrouillage des systèmes.
Comment l'attaque se déroule
Une attaque typique d'extorsion de données suit un schéma reconnaissable. Tout d'abord, les attaquants obtiennent un accès initial, souvent par le biais de l'ingénierie sociale. ShinyHunters, par exemple, est connu pour ses campagnes de hameçonnage vocal dans lesquelles des opérateurs se font passer pour du personnel de support informatique et incitent les employés à accorder l'accès à des plateformes d'authentification unique comme Okta ou Salesforce.
Une fois à l'intérieur, les attaquants se déplacent latéralement dans les environnements cloud, ciblant les comptes d'ingénierie à privilèges élevés, les référentiels Git, les pipelines CI/CD et les compartiments de stockage cloud. Ils exfiltrent discrètement des centaines de gigaoctets de données (courriels, contrats, identifiants, vidages de bases de données) avant même que la victime ne détecte l'intrusion.
Vient ensuite le message d'extorsion. Les victimes reçoivent une demande précisant les données volées, un montant de rançon (dépassant souvent 1 million de dollars pour les grandes organisations), une adresse de portefeuille de cryptomonnaie et une date limite, généralement 72 heures. Si la victime refuse, les attaquants publient les données sur des sites de fuite du dark web ou les vendent à des concurrents et à d'autres criminels.
Pourquoi les attaquants la préfèrent aux rançongiciels
L'abandon des rançongiciels basés sur le chiffrement est motivé par une froide logique économique. Le chiffrement de l'ensemble d'un réseau nécessite le déploiement de logiciels malveillants complexes, le maintien d'une infrastructure de déchiffrement et le risque d'être détecté par les outils de sécurité des terminaux. L'exfiltration de données, en revanche, est plus rapide, moins coûteuse et plus difficile à arrêter.
Les organisations se sont également améliorées dans la récupération après des attaques de chiffrement. Des stratégies de sauvegarde robustes et des plans de réponse aux incidents signifient que de nombreuses victimes peuvent restaurer les systèmes sans payer. Mais les données volées ne peuvent pas être « dévolées ». Une fois que les dossiers des clients ou les secrets commerciaux sont entre les mains d'un attaquant, aucune sauvegarde ne peut annuler les dommages. Comme le note la recherche de BlackFog, cela rend le levier beaucoup plus persistant.
Les chiffres confirment cette tendance. VikingCloud rapporte que les rançongiciels étaient présents dans 44 % des violations en 2025, contre 32 %, mais une part croissante de ces incidents impliquait une extorsion sans chiffrement, doublant de 3 % à 6 % en une seule année.
Qui est à risque
Les cibles de l'extorsion de données couvrent tous les secteurs. Les organismes de santé sont confrontés à la divulgation de dossiers de patients. Les entreprises financières risquent de divulguer des données de transaction. Les entreprises technologiques peuvent perdre du code source propriétaire. Même les institutions gouvernementales sont vulnérables : la Commission européenne a confirmé en mars 2026 que ShinyHunters avait exfiltré plus de 350 Go de données de son infrastructure cloud Europa.eu, y compris des archives de courriels et des identifiants internes.
Les petites et moyennes entreprises sont particulièrement exposées. Elles manquent souvent d'équipes de sécurité dédiées, ce qui en fait des cibles plus faciles avec moins de ressources pour détecter les intrusions précocement.
Comment les organisations s'en défendent
Étant donné que l'extorsion de données contourne les défenses traditionnelles contre les rançongiciels, la protection nécessite un état d'esprit différent. La CISA recommande plusieurs stratégies de base :
- Architecture zéro confiance : partez du principe qu'aucun utilisateur ou appareil n'est digne de confiance par défaut et appliquez un accès minimal aux privilèges sur tous les systèmes.
- Prévention de la perte de données (DLP) : déployez des outils en ligne qui surveillent et bloquent les transferts de données inhabituels avant que l'exfiltration ne se produise.
- Segmentation du réseau : limitez les mouvements latéraux afin qu'un seul compte compromis ne puisse pas atteindre l'ensemble du patrimoine de données.
- Formation des employés : étant donné que l'ingénierie sociale reste le principal point d'entrée, des programmes réguliers de sensibilisation à l'hameçonnage sont essentiels.
- Planification de la réponse aux incidents : maintenez et répétez un manuel de réponse qui aborde spécifiquement les scénarios de vol de données, et pas seulement le chiffrement.
La situation dans son ensemble
L'extorsion de données représente une évolution fondamentale de la cybercriminalité. Elle exploite la seule chose que les organisations ne peuvent pas inverser : la divulgation d'informations. À mesure que l'adoption du cloud s'accélère et que les entreprises stockent de plus en plus de données sensibles en ligne, la surface d'attaque s'agrandit. Les experts en sécurité avertissent que tant que les organisations ne traiteront pas le vol de données aussi sérieusement que le verrouillage des systèmes, les groupes d'extorsion continueront de prospérer.
