Dans un contexte marqué par le doublement des demandes de rançon et l’augmentation des paiements, près de la moitié des entreprises du secteur attribuent les incidents liés aux ransomwares à des failles de sécurité dont elles ignoraient l’existence.

PARIS, FRANCE — novembre 20, 2025 —

Sophos, l’un des premiers éditeurs mondiaux de solutions de sécurité innovantes conçues pour neutraliser les cyberattaques, publiece jour la cinquième édition de son étude annuelle consacrée au secteur du retail. Intitulée L’état des ransomwares dans le secteur du retail en 2025, cette enquête menée de façon indépendante auprès de responsables IT et Cybersécurité de 16 pays révèle que près de la moitié (46 %) des incidents liés aux ransomwares dans le secteur du retail est attribuée à une faille de sécurité inconnue, soulignant les défis de visibilité qui caractérisent en permanence l’ensemble de la surface d’attaque du secteur. Parmi les enseignes dont les données ont été chiffrées, 58 % ont payé la rançon pour récupérer leurs données, ce qui représente le deuxième taux le plus élevé en cinq ans.

Principales conclusions du rapport :

  • 46 % des attaques ont débuté par une faille de sécurité inconnue (principal facteur opérationnel) ;
  • 30 % des attaques ont exploité des vulnérabilités connues (cause première technique la plus couramment utilisée pour la troisième année consécutive) ;
  • 58 % des victimes dont les données ont été chiffrées ont versé la somme demandée ; 48 % des attaques ont abouti à un chiffrement des données, ce qui représente le taux le plus bas en cinq ans ;
  • Le montant moyen des demandes de rançon a doublé par rapport à 2024 pour atteindre 2 millions de dollars ; le montant moyen des paiements a pour sa part augmenté de 5 % pour s’établir à 1 million de dollars.

Ce que Sophos observe dans le secteur du retail

Au cours de l’année écoulée, l’équipe Sophos X-Ops a suivi près de 90 groupes de menaces qui ciblaient une ou plusieurs enseignes au moyen d’attaques de ransomwares ou d’extorsions via différents sites de fuite. Les groupes les plus actifs pistés par Sophos à partir de cas de réponse à incidents (IR) ou de gestion et réponse managées (MDR) sont les suivants : Akira, Cl0p, Qilin, PLAY et Lynx. Après les ransomwares, le piratage de comptes est le type d’incident le plus courant observé chez les enseignes du retail. À l’image de nombreux autres secteurs, le retail est régulièrement ciblé par les groupes spécialisés dans l’usurpation d’identité par e-mail professionnel qui cherchent à détourner des paiements ; cette méthode (BEC pour Business Email Compromise) constitue le troisième type d’incident le plus courant.

« Aux quatre coins du monde, les entreprises du retail évoluent dans un paysage des menaces toujours plus complexe et sont confrontées à des adversaires constamment à l’affût des vulnérabilités existantes, essentiellement dans les équipements d’accès à distance et les équipements réseau connectés à Internet. Aujourd’hui, alors que les demandes de rançon atteignent des sommets sans précédent, la nécessité d’appliquer des stratégies de sécurité complètes est encore plus évidente, faute de quoi les retailers risquent de subir des perturbations opérationnelles continues, ainsi qu’une atteinte durable à leur réputation dont la réparation peut nécessiter plusieurs années. Il est toutefois encourageant de constater que nombre d’entreprises commencent à prendre conscience de cette situation et réagissent en investissant en faveur de leur cyberdéfense pour neutraliser les attaques avant qu’elles ne s’intensifient et pour se rétablir plus rapidement », souligne Chester Wisniewski, director, global field CISO, Sophos.

L’expertise limitée disponible en interne représente le deuxième facteur opérationnel le plus courant à l’origine des compromissions (45 %), suivi par les failles dans la couverture de protection (44 %). Sans les compétences et la couverture appropriées, les enseignes du retail éprouvent de grandes difficultés à détecter les attaques et à les neutraliser.

Heureusement, des signes d’amélioration sont également visibles en parallèle à ces défis. Le pourcentage d’attaques stoppées avant le chiffrement a atteint un pic historique sur les cinq dernières années, soulignant que les entreprises du secteur améliorent leur capacité à détecter et à neutraliser rapidement les agressions. Le taux de chiffrement des données a pour sa part atteint son niveau le plus bas depuis cinq ans, seulement 48 % des attaques aboutissant à présent à un chiffrement des données.

S’il a augmenté de 5 % en un an pour atteindre 1 million de dollars en 2025 au lieu de 950 000 dollars en 2024, le montant moyen des versements représente la moitié du montant moyen des rançons demandées ; ces chiffres suggèrent que les enseignes résistent mieux à des demandes de rançons excessives et recherchent potentiellement le concours d’experts pour faire face à ce type d’attaque.

Selon l’édition 2025 du rapport consacré à l’état des ransomwares dans le secteur du retail,

  • le chiffrement des données est en baisse, mais les adversaires s’adaptent : bien que le taux de chiffrement des données ait atteint son niveau le plus bas en cinq ans, les cyberadversaires s’adaptent. En effet, la proportion d’enseignes exclusivement visées par une tentative d’extorsion a triplé, passant de 2 % en 2023 à 6 % en 2025 ;
  • l’utilisation de sauvegardes recule : 62 % des détaillants ayant subi une attaque ont récupéré leurs données grâce à une sauvegarde ; c’est le taux le plus bas en quatre ans ;
  • les retailers résistent aux demandes de rançon : l’étude attentive des demandes de rançon par rapport aux paiements montre que seulement 29 % des enseignes du retail ont déclaré que la somme versée correspondait à la demande initiale. 59 % ont payé une somme inférieure et 11 % une somme plus élevée ;
  • les coûts de récupération diminuent : il est encourageant de constater que le coût moyen de récupération après une attaque par ransomware — hors paiement de la rançon — a baissé de 40 % au cours de l’année écoulée pour atteindre 1,65 million de dollars, son niveau le plus bas depuis trois ans ;
  • les attaques par ransomware ont un impact direct sur les équipes : près de la moitié (47 %) des équipes IT/Cybersécurité du secteur déclarent avoir subi une pression accrue suite au chiffrement des données ; dans un quart des cas (26 %), cette situation a mené au remplacement des équipes de direction.

Renforcer les défenses à long terme

Fort de l’expérience acquise dans la protection des entreprises du retail à travers le monde, Sophos préconise les bonnes pratiques suivantes afin de les aider à conserver une longueur d’avance sur les ransomwares et autres cybermenaces :

  • éradiquer les causes premières : prendre des mesures proactives pour éliminer des faiblesses techniques et opérationnelles courantes que les adversaires ciblent fréquemment (vulnérabilités exploitées, par exemple). Des solutions telles que Sophos Managed Risk peuvent aider les entreprises à évaluer leur exposition et à réduire les risques dans l’ensemble de leur environnement.
  • défendre chaque systèmes endpoint : faire en sorte que tous les terminaux, serveurs compris, sont protégés à l’aide de défenses anti-ransomware dédiées pour empêcher les attaques de s’implanter.
  • planifier et se préparer : établir et tester régulièrement un plan complet de réponse aux incidents. Maintenir des sauvegardes fiables et tester régulièrement les méthodes de restauration des données afin de minimiser les temps d’arrêt en cas d’attaque.
  • surveiller H24 : une visibilité continue est primordiale. Les entreprises dépourvues de ressources internes peuvent renforcer leur résilience en faisant appel à un prestataire de services de détection et de réponse managés (MDR) de confiance pour assurer une surveillance des menaces 24/7 et bénéficier d’une capacité de réponse experte.

Méthodologie

Les données figurant dans l’étude l’état des ransomwares dans le secteur du retail en 2025 sont issues d’une enquête menée en toute indépendance entre janvier et mars 2025 auprès de 361 responsables IT et Cybersécurité représentant des entreprises comptant entre 100 et 5 000 employés et présentes dans 16 pays. Toutes les personnes interrogées ont été victimes d’une attaque par ransomware au cours des douze derniers mois. Sophos publiera d’autres conclusions sur le secteur tout au long de l’année.

Télécharger le rapport complet L’état des ransomwares dans le secteur du retail en 2025.

Découvrez comment le service MDR peut neutraliser en temps réel des attaques par ransomware en vous inscrivant au webinaire Behind the Shield: Real-World Stories of Thwarted Ransomware Attacks sur www.Sophos.com.

Pour en savoir plus sur :

À propos de Sophos

Sophos est un leader mondial de la cybersécurité qui protège 600000organisations à travers le monde grâce à une plateforme optimisée par l’IA et à des services fournis par des experts. Sophos accompagne les entreprises, quel que soit leur niveau de maturité en matière de cybersécurité, et évolue avec elles pour déjouer les cyberattaques. Ses solutions offrent une combinaison optimale entre apprentissage automatique, automatisation et renseignements sur les menaces en temps réel, à laquelle s’ajoute l’expertise humaine de l’équipe Sophos X-Ops, qui travaille en première ligne pour assurer la surveillance, la détection et la réponse aux menaces 24h/24 et 7j/7.
Sophos propose des services managés de détection et de réponse (MDR) de pointe, ainsi qu’un portefeuille complet de technologies de cybersécurité, parmi lesquelles des solutions de sécurité Endpoint, réseau, email et cloud, ainsi que des solutions de détection et de réponse étendues (XDR), de détection et de réponse aux menaces liées à l’identité (ITDR) et de SIEM de nouvelle génération. Associées à des services de conseil spécialisés, ces capacités aident les entreprises à réduire leurs risques de manière proactive et à répondre plus rapidement, tout en bénéficiant de la visibilité et de l’évolutivité nécessaires pour garder une longueur d’avance sur les menaces en constante évolution.
Sophos commercialise ses produits via un écosystème mondial de partenaires, comprenant des fournisseurs de services managés (MSP), des fournisseurs de services de sécurité managés (MSSP), des revendeurs et distributeurs, une marketplace d’intégrations et des partenaires spécialisés dans les cyber risques. Cette stratégie offre aux entreprises la flexibilité nécessaire pour choisir des partenaires de confiance pour protéger leurs opérations.  Le siège de l’entreprise est basé à Oxford, au Royaume-Uni. Plus d’informations sont disponibles sur www.sophos.fr.