Sophos, leader mondial des solutions de sécurité innovantes pour contrer les cyberattaques, a publié son cinquième rapport annuel Sophos State of Ransomware in Retail, ce 04 novembre 2025. Une enquête indépendante des fournisseurs menée auprès de responsables informatiques et de cybersécurité dans 16 pays.
58 % des organisations ont payé la rançon pour récupérer leurs données
Le rapport de cette année révèle que près de la moitié (46 %) des incidents de ransomware dans le secteur du commerce de détail ont été attribués à une faille de sécurité inconnue, soulignant les défis de visibilité persistants sur l’ensemble de la surface d’attaque du secteur du commerce de détail. Parmi les organisations dont les données étaient cryptées, 58 % ont payé la rançon pour récupérer leurs données – le deuxième taux de paiement le plus élevé en cinq ans.
Principales conclusions du rapport
- 46 % des attaques ont débuté par une faille de sécurité inconnue (principal facteur opérationnel).
- 30 % des attaques ont exploité des vulnérabilités connues (principale cause technique, pour la troisième année consécutive).
- 58 % des victimes dont les données étaient chiffrées ont payé ; 48 % des attaques ont entraîné un chiffrement (un niveau historiquement bas en cinq ans).
- La demande médiane de rançon a doublé pour atteindre 2 millions de dollars depuis 2024 ; le paiement moyen a augmenté de 5 % pour s’établir à 1 million de dollars.
Ce que Sophos observe dans le commerce de détail
Au cours de l’année écoulée, Sophos X-Ops a observé près de 90 groupes de menaces distincts ciblant un ou plusieurs détaillants au moyen de ransomwares ou d’extorsion sur des sites ayant divulgué des données.
Les groupes les plus actifs que Sophos a suivis dans le cadre de la réponse aux incidents et des cas de MDR sont Akira, Cl0p, Qilin, PLAY et Lynx.
Après les ransomwares, la compromission de comptes était le deuxième type d’incident le plus fréquent chez les détaillants.
Et comme de nombreux secteurs, le commerce de détail est une cible constante des groupes de fraude au faux ordre de virement (BEC) qui cherchent à détourner des paiements, ce qui représente le troisième type d’incident le plus fréquent.
L’augmentation sans précédent des demandes de rançon,
« À l’échelle mondiale, les détaillants sont confrontés à un paysage de menaces plus complexe, où les adversaires recherchent et exploitent constamment les vulnérabilités existantes. Notamment au niveau de l’accès à distance et des équipements réseau exposés à Internet. Face à l’augmentation sans précédent des demandes de rançon, la nécessité de mettre en œuvre des stratégies de sécurité complètes est plus que jamais d’actualité.
Sans cela, les détaillants s’exposent à des perturbations opérationnelles continues et à une atteinte durable à leur réputation, dont la réparation pourrait prendre des années. De manière encourageante, nombreux sont ceux qui commencent à en prendre conscience et à investir dans leurs cyberdéfenses, ce qui leur permet de stopper les attaques avant qu’elles ne s’aggravent et de se rétablir plus rapidement », explique Chester Wisniewski, directeur et RSSI mondial chez Sophos.
Les recommande pour renforcer les défenses à long terme
S’appuyant sur son expérience en matière de protection des entreprises de vente au détail dans le monde entier, Sophos recommande les bonnes pratiques suivantes pour aider les entreprises à garder une longueur d’avance sur les ransomwares et autres cybermenaces :
- Éliminer les causes profondes : Prenez des mesures proactives pour corriger les faiblesses techniques et opérationnelles courantes, telles que les vulnérabilités exploitées, fréquemment ciblées par les adversaires. Des solutions comme Sophos Managed Risk peuvent aider les organisations à évaluer leur exposition et à réduire les risques dans leurs environnements.
- Protégez chaque point de terminaison : assurez-vous que tous les points de terminaison, y compris les serveurs, sont protégés par des défenses anti-ransomware dédiées afin d’empêcher les attaques de s’implanter.
- Planifier et se préparer : Élaborer et tester régulièrement un plan de réponse aux incidents complet . Maintenir des sauvegardes fiables et s’exercer régulièrement à la restauration des données afin de minimiser les interruptions de service en cas d’attaque.
- Surveillance continue : une visibilité permanente est essentielle. Les organisations ne disposant pas de ressources internes peuvent renforcer leur résilience en s’associant à un fournisseur de services de détection et de réponse gérées (MDR) de confiance pour une surveillance des menaces 24 h/24 et 7 j/7 et une réponse experte.
