Select your country

Belgium

China

Denmark

France

Germany

Global

Maghreb & West Africa

Netherlands

Norway

South Africa

Sweden

Switzerland

United Kingdom

Not finding what you are looking for, select your country from our regional selector:

Rechercher

  1. Orange Cyberdefense
  2. Ressources
  3. Blog
  4. Cyber extorsion : les PME seraient-elles devenues le talon d'Achille au sein de la supply chain ?

Cyber extorsion : les PME seraient-elles devenues le talon d'Achille au sein de la supply chain ?

Deux personnes travaillant ensemble au sein d'une PME.

Partager

L'essentiel de votre hack'tu cybersécurité

  • La cyber extorsion, en forte croissance (+44,5 % en 2024-2025), touche principalement les PME, plus vulnérables et moins outillées face à l'accélération de la menace cyber ; 
  • Le modèle de « Crime-as-a-Service » facilite l’accès à des outils malveillants, rendant les attaques plus accessibles, industrielles et décentralisées, avec une augmentation du volume des campagnes et des cibles ; 
  • Les attaques sur la supply chain transforment des incidents locaux en risques systémiques, impactant l’ensemble des acteurs dépendants, notamment dans les secteurs de la santé, du transport et de l'industrie. 
  • Les PME ont aujourd'hui accès à des dispositifs de protection avancés adaptés à leurs moyens, comme Dynamic SOC d'Orange Cyberdefense. 

Cyber extorsion : une menace en forte croissance touchant principalement les PME

La cyber extorsion, qui consiste à bloquer l’accès à un système d’information ou à exfiltrer des données pour exiger une rançon, s’est imposée comme l’un des modes opératoires les plus utilisés par les cybercriminels, avec une progression continue ces dernières années. Comme le révélait la dernière édition de notre étude Security Navigator Business Leaders, sur la période 2024-2025, la cyber extorsion a augmenté de 44,5 %, touchant l’ensemble des secteurs : - industriel, distribution, logistique, santé, financier - et dont les deux tiers sont des PME. Une tendance qui s’explique par la difficulté de ces entreprises à gérer des environnements informatiques toujours plus complexes : infrastructures hybrides, accès distants, dépendance aux outils cloud, interconnexions avec des partenaires. Dans ce contexte, les PME sont moins bien outillées pour faire face aux cyberattaques et sont largement exposées.  Mais au-delà de cette approche, c’est l’interconnexion des systèmes d’information qui amplifie le risque : une compromission isolée chez un sous-traitant peut rapidement se propager à d’autres organisations et produire un effet domino, bien au-delà du point d’entrée initial.

De l'artisan hacker au modèle du Crime-as-a-Service (CaaS)

Si historiquement, les groupes criminels développaient leurs propres souches de ransomware et conduisaient eux-mêmes les intrusions et les opérations d’extorsion, le marché a vu émerger au milieu des années 2010 de nouvelles plateformes prêtes à l’emploi appelées Ransomware-as-a-Service (RaaS).

Le principe est le suivant : un acteur malveillant développe et opère toute l'infrastructure technique à travers une plateforme de services dont l’expérience utilisateur s’inspire des géants de la Silicon Valley. Ce type de plateforme « clé en main » est pensé pour mettre à disposition toute une gamme d’outils malveillants :

  • Des identifiants compromis et autres accès initiaux ; 
  • Des rançongiciels (ransomware) ; 
  • Des infrastructures de commande et de contrôle (C2) ; 
  • Des interfaces de négociation avec les victimes ; 
  • Un support technique. 

L’ensemble est accessible sur abonnement auprès d’un réseau d'affiliés, avec des tarifs allant de quelques dizaines à plusieurs milliers d’euros par mois selon les fonctionnalités proposées. Le modèle inclut également une logique de support client entre acteurs cybercriminels intégrant une assistance technique, de la documentation, voire des services d’accompagnement permettant d’optimiser les attaques. Dans certains cas, des groupes cybercriminels spécialisés peuvent s'intégrer à cette logique industrielle, notamment les « Initial Access Brokers » (IAB) : ces acteurs s'infiltrent dans les systèmes d'information des entreprises et revendent ces accès au plus offrant sur le dark web, permettant aux affiliés de lancer leurs attaques sans avoir à effectuer préalablement le travail d'intrusion. Devenus autonomes, ces affiliés lancent ainsi des campagnes de cyberattaques puis reversent une commission sur les rançons perçues.

Le groupe de cybercriminels LockBit, apparu en 2019, et très actif jusqu'en 2024 est sans doute l'exemple le plus emblématique de ce modèle. Dans le documentaire « Don’t Go To The Police », qui revient sur la cyberattaque impliquant le prestataire Coaxis, le vidéaste et vulgarisateur Micode évoque cette transformation de fond comme étant une : « Uberisation du ransomware ». Un phénomène qui traduit un double changement de paradigme du côté des cyberattaquants.

La mise à disposition sur étagère de produits et ressources cybermalveillantes porté par le modèle « Crime as a Service » qui contribue à industrialiser la toxicité de ces actions. Là où ces opérations étaient autrefois réservées à des « petits génies » de l’informatique, elles sont désormais accessibles à des profils moins spécialisés. Ces personnes, en consommateurs de produits et services cybercriminels, sont aujourd'hui en mesure, au sein de ce nouvel environnement décentralisé, de lancer des campagnes pouvant causer d'importants dégâts économiques, technologiques et réputationnels pour les entreprises de toutes tailles comme pour le quotidien des citoyens.

La conséquence est directe : une augmentation du volume d’attaques et une diversification des cibles, d’autant que les interdépendances entre PME et organisations amplifient les effets de propagation. Une compromission isolée peut ainsi entraîner des impacts en chaîne et faire émerger un risque désormais systémique.

Supply chain : quand une cyberattaque locale devient systémique

Au-delà de l’industrialisation des attaques, la cyber extorsion s’appuie sur une logique indirecte : exploiter les interdépendances entre organisations pour maximiser l’impact. Plutôt que de viser directement les acteurs les mieux protégés, les cybercriminels ciblent les maillons les plus accessibles de la chaîne. Hébergeurs, intégrateurs, sous-traitants ou prestataires techniques concentrent des accès à haute valeur, tout en disposant souvent de moyens de protection plus limités.

Si la cyberattaque dont a été victime Coaxis en 2023, qui a paralysé plus de 350 000 organisations dans son sillage, constitue un exemple marquant, d’autres incidents récents illustrent cette même logique d’effet domino opérationnel.

En 2024, la cyberattaque ayant touché Change Healthcare, filiale d’UnitedHealth Group, a été menée par le groupe de ransomware ALPHV/BlackCat. L’attaque a chiffré les actifs critiques de traitement des paiements et des transactions de santé, utilisés par les hôpitaux, pharmacies et assureurs américains.

L’impact a été immédiat sur l’ensemble de la chaîne de soins. Selon Kodiak Solutions, spécialiste des données financières hospitalières, la valeur des demandes de remboursement a chuté de 6,3 milliards de dollars en trois semaines pour 1 850 hôpitaux et 250 000 médecins(1).

De même, en 2025, une cyberattaque a visé Collins Aerospace(2), filiale du groupe RTX, en ciblant son logiciel Muse, utilisé pour l’enregistrement et l’embarquement des passagers. Les systèmes de check-in ont été perturbés dans plusieurs aéroports européens, dont Berlin, Bruxelles et Heathrow

L’indisponibilité du système a contraint les compagnies à basculer sur des procédures manuelles, provoquant retards et annulations avec des perturbations qui ont duré plusieurs jours le temps de déployer des correctifs. Ces incidents, dont l'ampleur évolue rapidement, illustrent un changement de paradigme : l’attaque ne vise plus uniquement une entreprise, mais l’ensemble des dépendances qu’elle supporte. Une compromission locale devient un incident systémique.

Pour les PME, l’enjeu dépasse leur propre périmètre de compétence : leur posture de cybersécurité devient un facteur déterminant pour l’ensemble de leur écosystème, du tissu économique auquel elles appartiennent au services essentiels impactant le quotidien des citoyens par les effets de réaction en chaîne.

Orange Cyberdefense protège les PME face aux cybermenaces

Face à une cyber extorsion devenue systémique, les PME doivent pouvoir s’appuyer sur des capacités de détection et de réponse comparables à celles des grandes organisations, sans pour autant en supporter la complexité opérationnelle et le coût. L'offre Dynamic SOCd'Orange Cyberdefense s'inscrit dans cette logique. Ce service vise à apporter un niveau de protection élevé, adapté aux contraintes et aux moyens des PME et repose sur trois piliers essentiels :

  1. Une connaissance de la menace unique, propriétaire et collective : chaque menace détectée chez un client enrichit la protection de tous nos clients ; 
  2. Une defénse proactive et 24/7 ; 
  3. Des solutions modulaires, adaptées à votre budget et besoins. 

Vous souhaitez protéger votre activité au quotidien et vous concentrer sur le développement de votre entreprise : explorez notre solution Dynamic SOC via le bouton ci-dessous. 

Source et notes

(1) « La cyberattaque contre Change Healthcare souligne la nécessité urgente de renforcer la préparation en cybersécurité des organisations de santé individuelles ainsi que du secteur dans son ensemble », American Hospital Association, janvier 2025 : https://www.aha.org/change-healthcare-cyberattack-underscores-urgent-need-strengthen-cyber-preparedness-individual-health-care-organizations-and 
(2) « Trois informations à retenir sur la cyberattaque qui perturbe les aéroports européens », Alice Vitard, Usine digitale, 22 septembre 2025 : https://www.usine-digitale.fr/article/trois-informations-a-retenir-sur-la-cyberattaque-qui-perturbe-les-aeroports-europeens.N2238169  

Victime d’un incident ?

Vous faites face à une cyberattaque ?

Nos experts sont joignables 24h/24, 7j/7.

Contactez l'assistance