Skip to content
Cybersécurité

Ransomware 2025 : les vecteurs d'entrée que l'EASM permet de bloquer

En 2024, 74% des ransomwares ont exploité des vulnérabilités d'accès externes. RDP exposés, VPN vulnérables, credentials compromis — l'EASM détecte ces vecteurs avant que les attaquants ne les exploitent.

Karim Benali
6 janvier 20257 min
Ransomware 2025 : les vecteurs d'entrée que l'EASM permet de bloquer

Ransomware 2025 : les vecteurs d'entrée que l'EASM permet de bloquer

Le ransomware reste la menace cyber #1 pour les entreprises françaises. En 2024, le coût moyen d'une attaque ransomware dépasse 1,2 million d'euros pour une ETI (selon Sophos State of Ransomware 2024). Et 74% de ces attaques commencent par l'exploitation d'un vecteur d'entrée externe identifiable à l'avance.

Les vecteurs d'entrée ransomware en 2024-2025

1. Exploitation de vulnérabilités externes (32%)

Les groupes de ransomware maintiennent des scanners automatisés qui parcourent Internet en permanence à la recherche de services vulnérables. Quand une CVE critique est publiée, le temps entre la publication et l'exploitation active est passé de plusieurs semaines à 48-72 heures.

VPN et accès distants les plus ciblés :

  • Citrix Bleed (CVE-2023-4966) : exploité dans les 72h
  • ConnectWise ScreenConnect : exploité dans les 48h
  • Ivanti Connect Secure : exploité dans les 24h
  • Fortinet FortiOS : multiples CVE exploitées en série

2. Credentials compromis / Brute force (28%)

Des identifiants volés achetés sur des forums cybercriminels ou obtenus par phishing sont utilisés pour accéder directement aux systèmes d'accès distants (RDP, VPN, Citrix).

Indicateurs EASM : Services RDP/SSH exposés sans MFA, interfaces d'administration accessibles depuis Internet.

3. Phishing et BEC (24%)

Campagnes d'hameçonnage ciblé utilisant des sous-domaines similaires au domaine légitime (typosquatting), ou exploitation de sous-domaines pris en main.

Indicateurs EASM : Sous-domaines similaires enregistrés, email spoofing (SPF/DKIM/DMARC mal configurés).

4. Supply chain (10%)

Compromission via un fournisseur de logiciels ou de services. Accès obtenu via les credentials du fournisseur.

5. Autres (6%)

Insider threats, clés USB, attaques physiques.

Ce que l'EASM détecte pour chaque vecteur

Vecteur ransomwareCe que l'EASM détecteAlerte générée
VPN vulnérableVersion logiciel + CVE active + CISA KEVP1 immédiate
RDP exposéPort 3389 accessible depuis InternetP1 immédiate
SSH exposé sans restrictionPort 22 ouvert monde entierP2
MFA absent sur admin interfaceInterface d'admin sans auth robusteP1
Credentials compromisCredentials dans des fuites publiquesP1 immédiate
Sous-domaine danglingCNAME vers service suppriméP2
SPF/DKIM/DMARC absentsEmail spoofing possibleP2

Les groupes ransomware et leurs cibles en 2025

LockBit 3.0 et ses successeurs

Ciblent particulièrement les PME/ETI avec des VPN Fortinet et Citrix vulnérables. Temps moyen entre accès initial et chiffrement : 3-5 jours.

ALPHV/BlackCat

Spécialistes de la double extorsion (chiffrement + vol de données). Ciblent les secteurs santé et finance avec des APIs vulnérables.

Play, Cl0p, Akira

Groupes actifs en France en 2024-2025, exploitant systématiquement les CVE critiques sur les solutions de transfert de fichiers et d'accès distant.

Plan de prévention anti-ransomware avec l'EASM

Priorité absolue : Aucun service RDP, VPN, ou interface d'administration ne doit être exposé directement sur Internet sans MFA.

Surveillance continue : Configurer des alertes P1 immédiates sur l'EASM pour tout nouveau service d'accès distant exposé.

Réactivité CVE : Objectif de patch < 24h pour toute CVE critique sur un service d'accès distant exposé dans CISA KEV.

Surveillance credentials : Activer le monitoring des credentials compromis pour votre domaine.

← Retour au blog