RaaS : le piratage à la carte, une cybermenace désormais accessible à tous

Et si n’importe qui pouvait lancer une cyberattaque sans être un expert en informatique ? Depuis quelques années, la cybercriminalité a pris une nouvelle tournure. Les pirates ne se contentent plus d’attaquer directement leurs victimes : ils vendent ou louent leurs outils à d’autres, comme un service en ligne. C’est ce qu’on appelle le RaaS (Ransomware as a service). Ce modèle a profondément transformé le paysage des menaces numériques, rendant les attaques accessibles à tous – même à ceux qui n’ont que peu de compétences techniques. Résultat : les ransomwares explosent et touchent désormais toutes tailles d’organisations, des grands groupes aux petites structures publiques ou privées.

⚙️ Comment fonctionne le RaaS ?

Le RaaS s’inspire des services en ligne classiques comme Netflix ou les logiciels « en cloud » :

1. Un développeur crée le logiciel malveillant.
2. Des affiliés le louent ou l’achètent pour lancer leurs propres attaques.
3. Les profits sont partagés entre les deux parties.

Certains groupes RaaS fonctionnent comme de véritables entreprises sur le dark Web : ils proposent un service client 24/7, des forums d’entraide pour les affiliés, des tutoriels détaillés, des mises à jour régulières du logiciel malveillant et même des formules d’abonnement à la carte (location mensuelle, achat unique ou partage des rançons). Les paiements s’effectuent en cryptomonnaie, et l’expérience utilisateur est conçue pour être aussi simple que celle d’un service SaaS classique * – sauf que le produit vendu est un outil de cybercriminalité.

* Le SaaS (Software as a service) est un logiciel hébergé en ligne, accessible via internet sur abonnement, sans installation locale.

Pourquoi le RaaS est-il une menace croissante ?

Le RaaS a industrialisé le ransomware. Avant, une attaque nécessitait des compétences techniques avancées, du temps et des moyens. Aujourd’hui, il suffit d’un peu d’argent et de quelques clics pour se lancer.

Cette industrialisation entraîne :

• des attaques plus fréquentes et plus rapides (préparation moyenne en moins de quatre jours) ;
• une spécialisation des rôles (développeurs, affiliés, courtiers d’accès, négociateurs) ;
• une traçabilité plus difficile (les mêmes outils peuvent être utilisés par des dizaines de groupes différents).

En 2024, les ransomwares représentaient encore près de 20 % des incidents de cybercriminalité mondiaux (source : IBM). En 2025, cette tendance ne montre aucun signe de ralentissement.

⚔️ Les tactiques des groupes RaaS

Les attaques ont évolué :

• Double extorsion : les pirates volent les données avant de les chiffrer, puis menacent de les publier.
• Chantage à la réputation : les victimes préfèrent souvent payer pour éviter une fuite médiatique.
• Pression psychologique : publication partielle de données, menaces publiques, harcèlement des dirigeants.

En 2024-2025, les attaques RaaS se sont multipliées et sophistiquées.

Ces deux dernières années, les ransomwares en mode service (RaaS) ont particulièrement frappé la santé, les collectivités locales, les PME et les prestataires de services.
Derrière ces campagnes, on retrouve plusieurs groupes de cybercriminels organisés, parmi les acteurs majeurs du ransomware à l’échelle mondiale :

• LockBit vise de grandes entreprises et infrastructures (comme Boeing ou TSMC) avec des rançons record.
• Akira et Fog s’en prennent aux secteurs de l’éducation, de la santé et de la finance, en exploitant des failles logicielles.
• Medusa et SafePay mènent des campagnes coordonnées dans plusieurs pays pour frapper vite et fort.
• Cl0p tire parti de vulnérabilités très répandues pour toucher un grand nombre de victimes.
• FunkSec utilise l’intelligence artificielle pour dissimuler ses attaques et contourner les systèmes de sécurité.
  
  

Comment se prémunir contre le RaaS ?

1. Sensibiliser les équipes.

• • Former régulièrement sur les risques du phishing et des pièces jointes suspectes.
  • Simuler des campagnes d’e-mail piégé pour renforcer la vigilance.

2. Sécuriser les accès.

• • Activer l’authentification multifacteur.
  • Limiter les privilèges d’administration.
  • Segmenter les réseaux pour éviter la propagation d’une infection.

3. Sauvegarder intelligemment.

• • Sauvegarder régulièrement hors réseau.
  • Tester fréquemment la restauration pour vérifier la fiabilité des sauvegardes.

4. Maintenir et surveiller.

• • Mettre à jour les systèmes et corriger les failles connues.
  • Utiliser des outils de détection comportementale (EDR, XDR).
  • Surveiller les anomalies : pics d’activité, suppression de sauvegardes, etc.

5. Préparer la réponse à un incident.

• • Établir un plan clair (procédure, contacts internes et externes).
  • Ne jamais payer la rançon (risque de financement de la cybercriminalité, absence de garantie de récupération des données, ciblage répété).

En cas d’attaque avérée ou de suspicion d’attaque, alerter immédiatement votre service informatique si vous en disposez, l’assurance et la CNCJ. Déposer plainte auprès de la gendarmerie.