Ransomware à double extorsion : le chiffrement at-rest, dernier rempart contre la publication de vos données
Les gangs volent vos données avant de les chiffrer, puis menacent de les publier. La France est la cible n°1. Seul le chiffrement at-rest neutralise cette menace.
Sur dix intrusions réussies en 2025, près de huit incluent le vol de données avant toute tentative de chiffrement des systèmes (Sophos, State of Ransomware 2025). Le ratio était de six sur dix un an plus tôt. Cette bascule redéfinit la nature même de la menace ransomware. Les sauvegardes, longtemps considérées comme la parade ultime, ne protègent plus contre le risque principal : la publication de données confidentielles sur les sites vitrine des gangs. Le chiffrement at-rest des données sensibles devient le seul mécanisme capable de neutraliser cette arme.
L'anatomie de la double extorsion
Le ransomware classique suivait un schéma linéaire : un attaquant pénètre le réseau, déploie un chiffreur, verrouille les fichiers, réclame une rançon contre la clé de déchiffrement. Le modèle fonctionnait tant que les victimes n'avaient pas de sauvegardes fiables. Lorsque les entreprises ont massivement investi dans les plans de reprise et les sauvegardes immuables, les groupes criminels ont adapté leur tactique.
La double extorsion ajoute une phase préalable au chiffrement : l'exfiltration. Avant de verrouiller quoi que ce soit, les opérateurs passent des jours, parfois des semaines, à cartographier le réseau compromis. Ils identifient les données à forte valeur (bases clients, propriété intellectuelle, documents financiers, données de santé) et les copient vers des serveurs qu'ils contrôlent. Ce n'est qu'ensuite que le chiffreur est déployé. La victime se retrouve face à deux leviers de pression simultanés : payer pour récupérer l'accès à ses systèmes, et payer pour empêcher la publication des données volées.
Le rapport Sophos 2025 révèle un basculement structurel : le taux de chiffrement des systèmes par les attaquants tombe à 50%, contre 70% en 2024. L'exfiltration seule suffit désormais à monétiser une intrusion. Une entreprise peut restaurer ses systèmes en quelques jours. Elle ne peut pas « dé-publier » des données confidentielles diffusées sur le dark web.
La France, terrain de chasse privilégié
L'ANSSI a traité 4 386 événements de sécurité en 2024, en hausse de 15% sur un an. Parmi ceux-ci, 144 incidents ransomware ont été confirmés : le socle visible d'un iceberg bien plus massif. La souche dominante en France en 2024 était LockBit 3.0, responsable de 15% des incidents confirmés. En 2025, c'est Qilin qui s'impose avec une progression de 750% et 51 attaques revendiquées. La France est devenue la deuxième cible mondiale de Qilin, juste derrière les États-Unis.
Entre 75% et 92% des entreprises françaises finissent par payer la rançon. Les PME, TPE et ETI représentent 37% des victimes identifiées par l'ANSSI, une proportion qui dépasse 60% dans les études incluant les incidents non signalés.
Pourquoi les sauvegardes ne suffisent plus
Lorsque l'attaquant exfiltre vos données clients avant de chiffrer vos serveurs, la capacité à restaurer vos systèmes en 48 heures ne change rien au problème fondamental. Les données sont déjà entre les mains du gang. La menace de publication reste intacte. Les sauvegardes protègent la disponibilité. Elles ne protègent pas la confidentialité.
L'extorsion sans chiffrement, dont la part a doublé en un an (de 3% à 6%), illustre cette évolution. Certains groupes ne prennent même plus la peine de déployer un chiffreur. Ils volent les données, envoient des échantillons, et négocient la non-publication. Face à ce modèle, les sauvegardes sont hors sujet.
Le chiffrement at-rest : la parade technique
Le chiffrement at-rest transforme chaque donnée stockée en une séquence d'octets inintelligible sans la clé correspondante. Lorsqu'un attaquant exfiltre des données chiffrées, il obtient des fichiers inexploitables : il ne peut ni les lire, ni les publier de manière intelligible, ni exercer de pression crédible. Sans accès aux clés, les données chiffrées en AES-256-GCM sont computationnellement indistinguables de données aléatoires. Résultat : la menace de publication devient caduque.
| Scénario | Sans chiffrement | Avec chiffrement |
|---|---|---|
| Données exfiltrées | Lisibles en clair | Séquence d'octets inintelligible |
| Menace de publication | Crédible et dévastatrice | Caduque |
| Notification RGPD Art.34 | Obligatoire | Potentiellement exemptée |
| Impact réputationnel | Élevé | Limité |
| Coût de remédiation | 1,5M EUR en moyenne | Réduit à la restauration technique |
| Prime d'assurance cyber | Élevée, surprime probable | Conditions préférentielles |
L'article 34 du RGPD prévoit que la notification aux personnes concernées n'est pas requise si des « mesures de protection techniques appropriées » rendant les données « incompréhensibles » ont été mises en œuvre, comme le chiffrement.
L'architecture qui résiste
L'architecture de référence repose sur l'envelope encryption. Chaque objet de données est chiffré avec une clé de données unique (DEK), elle-même chiffrée par une clé maîtresse (KEK) stockée dans un KMS externe. Ce découplage crée une séparation physique entre données et clés. Un attaquant qui exfiltre la base obtient les données chiffrées et les DEK chiffrées, inutilisables sans la KEK.
Des plateformes de chiffrement souverain comme MAFATE implémentent cette architecture par défaut : chiffrement AES-256-GCM, envelope encryption avec HSM, clés de données (DEK) séparées de la clé maître (KEK), et chaîne d'audit immutable. L'intégration se fait via SDK en quelques lignes de code : un niveau de protection que même les PME sans expertise cryptographique peuvent déployer en moins d'une heure.
L'assurance cyber exige le chiffrement
Le marché de la cyber-assurance en France a atteint 1,7 milliard d'euros en 2024, en hausse de 70%. Les assureurs imposent désormais cinq prérequis quasi universels : MFA, sauvegardes hors ligne, programme de mises à jour, formation des collaborateurs, et chiffrement des données sensibles. Ce dernier critère progresse le plus rapidement dans les grilles d'évaluation. Certains assureurs proposent des réductions de 15 à 25% pour les entreprises démontrant un chiffrement at-rest systématique.
Ce que le chiffrement at-rest ne résout pas
Le chiffrement protège la confidentialité. Il ne protège ni l'intégrité ni la disponibilité. Un attaquant peut chiffrer vos données déjà chiffrées, les rendant inaccessibles même avec vos clés. Les sauvegardes immuables restent indispensables pour la restauration. La segmentation réseau, le contrôle d'accès zero-trust et la détection des mouvements latéraux restent des composantes irremplaçables. Le chiffrement at-rest est un pilier, pas une panacée, mais c'est le pilier qui neutralise le levier d'extorsion le plus dévastateur.
La convergence des pressions
NIS2, DORA et le RGPD convergent vers la même exigence technique. Les investissements consentis pour résister aux ransomwares à double extorsion satisfont simultanément les exigences de conformité et les prérequis des assureurs. Une seule implémentation, le chiffrement at-rest avec KMS externe, adresse trois catégories de risques habituellement traitées en silos. Le coût de l'implémentation se mesure en jours. Le coût de l'absence se mesure en millions.
Lire aussi dans ce dossier :
Sources
Articles connexes
33 millions de patients exposés : l'état réel du chiffrement dans la santé française
Deux ans après Viamedis, les données de santé restent massivement non protégées. Enquête sur un secteur qui combine les données les plus sensibles et les défenses les plus faibles.
TechniqueChiffrer ses données en 2026 : le guide de survie pour PME et ETI françaises
63% des PME n'ont pas l'expertise pour chiffrer, mais les amendes CNIL atteignent des records. Guide pratique : AES-256, envelope encryption, souveraineté et conformité NIS2.
ConformitéDORA est en vigueur : ce que les banques et fintech françaises doivent chiffrer maintenant
Le règlement européen DORA impose le chiffrement des données financières depuis janvier 2025. L'ACPR contrôle déjà. Guide des obligations.