Vous est-il déjà arrivé de recevoir un mail bizarre, celui qui vous glace le sang en prétendant tout savoir sur vous ? En 2025, ce genre de message n’est plus l’exception. Il est devenu le quotidien de milliers d’entreprises, surtout les plus modestes. Et franchement, les derniers chiffres font froid dans le dos.
Imaginez : en seulement douze mois, le nombre d’organisations victimes de cyberextorsion a littéralement explosé. On parle d’une hausse de plus de 44 % par rapport à la période précédente. Et quand on regarde les neuf premiers mois de 2025 uniquement, on dépasse déjà de 5 % le total de l’année 2024 entière. Autant dire que la courbe ne redescend pas, elle s’emballe.
La cyberextorsion n’est plus un risque, c’est une certitude
Ce qui me frappe le plus dans ces nouvelles données, c’est la cible privilégiée des attaquants. Les petites et moyennes entreprises, ces structures qu’on imagine souvent à l’abri parce qu’elles n’ont « rien d’intéressant », représentent désormais 67 % des victimes. Deux tiers. C’est énorme.
Pourquoi les PME ? Tout simplement parce qu’elles sont devenues la proie idéale : elles se digitalisent à marche forcée (cloud, outils collaboratifs, e-commerce…), mais bien souvent sans les moyens de sécurité des grands groupes. Résultat : une surface d’attaque qui s’élargit à toute vitesse et des défenses qui peinent à suivre.
Les zones géographiques les plus touchées
Si vous pensiez que cela ne concernait que les États-Unis ou le Canada, vous avez raison… en partie. Ces deux pays restent en tête du classement, très loin devant. Mais le phénomène s’étend maintenant à une vitesse folle vers l’Europe et même vers des régions à croissance rapide qu’on imaginait encore épargnées il y a peu.
J’ai vu des cartes de chaleur qui ressemblent de plus en plus à une pandémie numérique. Ce n’est plus une affaire de pays riches, c’est une menace globale qui suit les flux économiques et la connectivité.
Plus de groupes, plus organisés, plus industriels
Autre constat qui donne le vertige : le nombre d’acteurs malveillants actifs a augmenté de 17 % en un an. On passe doucement mais sûrement d’une criminalité artisanale à une véritable industrie de l’extorsion.
Certains groupes changent simplement de nom pour brouiller les pistes, mais d’autres se créent ex nihilo, souvent avec des financements solides et des méthodes quasi-entrepreneuriales. On parle de recrutement sur le dark web, de formations internes, de services après-vente (si, si). C’est glaçant.
« On est passé d’une professionnalisation à une véritable industrialisation des attaquants. »
Hugues Foulon, expert reconnu en cybersécurité
Quand l’IA entre dans la danse
Mais le vrai game changer, celui qui me fait dire qu’on entre dans une nouvelle ère, c’est l’arrivée massive de l’intelligence artificielle dans l’arsenal des cybercriminels.
On ne parle plus seulement de chiffrer vos données et de demander une rançon. On parle maintenant d’attaques hybrides : vol massif de données sensibles, menace de publication, et en parallèle, campagne de désinformation ciblée pour détruire la réputation de l’entreprise ou de ses dirigeants.
Grâce aux outils de génération de contenu dopés à l’IA, créer de faux communiqués, de fausses preuves ou des deepfakes crédibles devient enfantin. Et terriblement efficace.
- Campagnes de dénigrement automatisées sur les réseaux sociaux
- Publication de prétendues « fuites » truquées mais ultra-réalistes
- Harponnage (phishing) ultra-personnalisé grâce à l’analyse IA des profils publics
- Création de faux sites miroirs pour piéger clients et partenaires
Franchement, quand je vois ça, je me dis que la frontière entre cyberattaque et guerre informationnelle est en train de s’effacer complètement.
Pourquoi les PME paient-elles le plus lourd tribut ?
Revenons un instant sur ces 67 %. Ce n’est pas un hasard.
Une PME a souvent :
- Un seul responsable informatique (quand il y en a un)
- Des budgets sécurité ridiculement bas (moins de 1 % du CA en moyenne)
- Des collaborateurs peu ou pas formés aux bons réflexes
- Des sauvegardes inexistantes ou non testées
- Une assurance cyber qui ne couvre… presque rien
Résultat : quand l’attaque arrive, c’est la panique totale. Et payer la rançon apparaît souvent comme la solution la moins douloureuse à court terme. Ce qui, bien entendu, finance la machine pour les prochaines victimes.
Que faire concrètement dès aujourd’hui ?
On pourrait se dire que c’est perdu d’ d’avance. Moi je refuse cette fatalité. Il y a des gestes simples, parfois peu coûteux, qui changent radicalement la donne.
- Formez vos équipes, vraiment. Une heure par mois suffit à diviser par deux le risque de phishing réussi.
- Mettez en place l’authentification multifacteur partout où c’est possible. C’est le rempart le plus efficace aujourd’hui.
- Faites des sauvegardes hors ligne et testez-les régulièrement. La règle du 3-2-1 (3 copies, 2 supports différents, 1 hors site) reste d’or.
- Sensibilisez votre direction : la cybersécurité n’est pas un coût, c’est une assurance-vie pour l’entreprise.
- Envisagez une petite assurance cyber adaptée. Oui ça coûte, mais bien moins que les 500 000 € de rançon moyenne demandée aux PME.
Et surtout, parlez-en autour de vous. La plupart des dirigeants de PME que je rencontre croient encore que « ça n’arrive qu’aux autres ». Jusqu’au jour où…
Vers un avenir encore plus sombre ?
Les experts sont unanimes : 2026 risque d’être pire. L’accessibilité croissante des IA génératives va démocratiser des attaques jusqu’ici réservées à une élite technique.
On parle déjà de « ransomware as a service » boosté à l’IA, capable d’adapter son mode opératoire en temps réel selon les défenses détectées. On parle aussi d’attaques coordonnées mêlant extorsion financière et déstabilisation réputationnelle à grande échelle.
Bref, le cocktail est prêt. Reste à savoir si les entreprises, et particulièrement les PME, vont enfin prendre la menace au sérieux avant qu’il ne soit trop tard.
Parce qu’en matière de cybersécurité, il n’y a qu’une seule vérité : ce n’est pas une question de si vous serez attaqué, mais de quand.
Et vous, où en êtes-vous dans votre propre protection ?
