La dernière étude annuelle de Sophos explore les expériences réelles vécues par 292 prestataires de santé touchés par des ransomwares au cours de l’année écoulée. Le rapport examine comment les causes et les conséquences de ces attaques de ransomware ont évolué dans le temps. L’édition de cette année met également en lumière des domaines jusqu’alors inexplorés, notamment les facteurs organisationnels qui ont exposé les prestataires et l’impact humain des ransomwares sur les équipes IT/Cybersécurité de ce secteur.

Les vulnérabilités exploitées et les problèmes de capacité sont à l’origine des principales causes premières

Pour la première fois en trois ans, les prestataires de santé ont identifié l’exploitation de vulnérabilités comme la cause première technique la plus courante de ces attaques, impliquée dans 33% des incidents. Cette dernière dépasse les attaques basées sur les identifiants, qui étaient la principale cause première signalée en 2023 et 2024.

Plusieurs facteurs organisationnels contribuent au fait que les prestataires de santé soient victimes de ransomwares, le plus courant étant le manque de personnel/capacité (c’est-à-dire un nombre insuffisant d’experts en cybersécurité surveillant les systèmes au moment de l’attaque) cité par 42% des victimes. Suivent ensuite, de très près, les failles de sécurité connues, qui ont contribué à 41% des attaques.

Causes premières organisationnelles des attaques dans le secteur de la santé

Le chiffrement des données diminue fortement, mais le taux d’extorsion grimpe en flèche

Le chiffrement des données dans le secteur de la santé est tombé à son plus bas niveau en cinq ans, avec seulement un tiers (34%) des attaques entraînant le chiffrement des données, le deuxième pourcentage le plus bas enregistré dans l’enquête de cette année, et un chiffre qui représente moins de la moitié des 74% signalés par les prestataires de santé en 2024. En phase avec cette tendance, le pourcentage d’attaques stoppées avant le chiffrement a atteint son plus haut niveau en cinq ans, indiquant ainsi que les prestataires de santé renforcent leurs défenses.

Cependant, les adversaires s’adaptent : la proportion de prestataires de santé touchés par des attaques d’extorsion uniquement (où les données n’ont pas été chiffrées mais une rançon avait quand même été demandée) a triplé pour atteindre 12% des attaques en 2025, contre seulement 4% en 2022/2023, à savoir le taux le plus élevé signalé dans l’enquête de cette année. Cette tendance est probablement due à la grande sensibilité des données médicales (dossiers des patients, etc.).

Chiffrement des données dans le secteur de la santé | 2021 – 2025

Le taux de paiement des rançons diminue tandis que la confiance dans les sauvegardes chute

En 2025, seulement 36% des prestataires de santé ont payé la rançon, contre 61% en 2022, plaçant ainsi le secteur parmi les quatre moins susceptibles de récupérer des données de cette manière. En parallèle, l’utilisation des sauvegardes a également diminué (51%, contre 72%). Collectivement, ces résultats indiquent une résistance plus forte aux demandes, mais également de potentielles vulnérabilités ou bien un manque de confiance dans la résilience des systèmes de secours.

Récupération de données chiffrées dans le secteur de la santé | 2021 – 2025

Les demandes de rançon, les paiements et les coûts de récupération des attaques chutent

L’économie des ransomwares dans le secteur de la santé a radicalement changé en 2025, les demandes de rançon ayant chuté de 91% à 343 000 dollars (contre 4 millions de dollars en 2024) et les paiements de rançon passant de 1,47 million de dollars à seulement 150 000 dollars, soit le niveau le plus bas de tous les autres secteurs signalés dans l’enquête de cette année. Ce déclin reflète une forte baisse des demandes et des paiements qui affichaient auparavant plusieurs millions de dollars, bien que les demandes de niveau intermédiaire (à savoir de 1 à 5 millions de dollars) et les paiements inférieurs à 1 million de dollars aient augmenté.

En parallèle, le coût moyen de récupération (hors rançons versées) est tombé à son plus bas niveau depuis trois ans, chutant de 60% au cours de l’année écoulée pour atteindre 1,02 million de dollars, contre 2,57 millions de dollars en 2024. Dans l’ensemble, les résultats décrivent un secteur dans lequel il est plus difficile d’extraire des sommes importantes et qui est plus efficace en termes de récupération, même si les cas représentant des faibles montants deviennent plus courants.

Les attaques de ransomware exercent une pression considérable sur les équipes IT/Cybersécurité du secteur de la santé favorisée par les équipes dirigeantes

L’enquête montre clairement que le chiffrement des données lors d’une attaque par ransomware a des répercussions importantes sur les équipes IT/Cybersécurité de ce secteur, avec une pression accrue de la part des équipes dirigeantes citée par 39% des personnes interrogées. Les autres répercutions comprennent (sans s’y limiter) :

Une Anxiété ou un stress accru lié à de futures attaques, mentionné par 37% des personnes interrogées.

accru lié à de futures attaques, mentionné par 37% des personnes interrogées. Un changement de priorités/focus de l’équipe, cité par 37% des personnes interrogées.

de l’équipe, cité par 37% des personnes interrogées. Un sentiment de culpabilité pour ne pas avoir pu empêcher l’attaque, mentionné par 32% des personnes interrogées.

À propos de l’enquête

Le rapport est basé sur les résultats d’une enquête indépendante et agnostique commandée par Sophos, réalisée auprès de 3 400 responsables IT/Cybersécurité répartis dans 17 pays sur le continent américain, dans la région EMEA et Asie-Pacifique et dont 292 travaillent dans le secteur de la santé. Toutes les personnes interrogées travaillent dans des organisations comptant entre 100 et 5 000 employés. L’enquête a été menée par le cabinet d’études Vanson Bourne, entre janvier et mars 2025. Les participants ont été invités à répondre sur la base de leurs expériences au cours de l’année écoulée.

Billet inspiré de The State of Ransomware in Healthcare 2025, sur le Blog Sophos.