Nom encore discret il y a quelques mois, SafePay est en train de se faire une place dans l’univers du ransomware à force d’attaques en série, non pas contre les entreprises du CAC 40, mais contre les TPE, PME et prestataires de services qui font tourner l’économie du quotidien. Un ciblage méticuleux de structures solvables mais fragiles qui en fait une menace à suivre de près.
Les équipes de Flare viennent de publier une radioscopie de SafePay, un groupe de ransomware apparu fin 2024 et devenu, en quelques mois, l’un des plus actifs de l’écosystème. Derrière ce nom plus rassurant qu’il ne le devrait, on trouve une machine de double extorsion qui combine chiffrement, chantage, leaks et ciblage économique très précis, concentré sur un tissu de TPE, PME et prestataires de services coincés entre l’impossibilité d’encaisser un arrêt prolongé et le risque qu’une fuite de données vire aux problèmes réglementaires et contractuels plus coûteux qu'une rançon. Bref, des cibles idéales et très rentables.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
SafePay, un terrain de chasse très ciblé
Pour établir ce profil, Flare a passé au crible cinq cents enregistrements issus du site de fuite de SafePay, la plupart des entreprises citées n'ayant jamais signalé l'incident aux autorités compétentes.
Premier constat, la très large majorité des organisations touchées sont des petites et moyennes structures. Plus de neuf victimes sur dix sont des PME, dont près de six sur dix emploient moins de cinquante personnes (58 %). On est donc loin du cliché du groupe qui viserait en priorité les très grandes organisations, SafePay s’intéressant surtout à des sociétés suffisamment installées pour générer du cash et fortement dépendantes d’un petit nombre d’applications nécessaires à leur activité, dont la paralysie mettrait rapidement l’entreprise en difficulté.
Dans le détail, le secteur des services écrase le reste de l’échantillon avec deux tiers des victimes environ (66 %). Flare relève une forte présence des activités juridiques et comptables, qui concentrent un peu plus d’un quart des organisations touchées (26 %), mais aussi de la santé (22 %), de l’industrie au sens large (18 %), des services IT (12 %), du retail (11 %) et des services publics (6 %). Autant de domaines dans lesquels l’informatique porte directement la production, la facturation ou la relation client, avec des volumes importants de données personnelles, médicales ou financières.
La portée des entreprises ciblées tend également à confirmer le choix d’un maillon intermédiaire. 60 % des victimes identifiées opèrent principalement au niveau local ou régional, 28 % à l’échelle nationale et seulement 8 % ont un profil de multinationale. SafePay s’intéresse donc aux sociétés suffisamment ancrées sur leur marché pour être solvables, mais trop petites pour disposer d’une direction cybersécurité solide et d’équipes dédiées à la gestion de crise.
Dans les données de Flare, ces entreprises sont d’abord nord-américaines (40 %) et ouest-européennes (38 %), avec une forte concentration des victimes aux États-Unis et en Allemagne, les régions à faible revenu ou moins régulées apparaissant à la marge. Le groupe semble au contraire privilégier des environnements au pouvoir d’achat élevé, régis par des cadres stricts (RGPD, NIS2, HIPAA, lois de notification de fuite), susceptibles de transformer une exfiltration de données en dossiers juridiques, réglementaires et assurantiels, qui reviennent généralement plus cher à l’entreprise visée que la rançon elle-même.
Ce que les entreprises doivent tirer du cas SafePay
À toutes fins utiles, on insistera sur le fait que le jeu de données analysé par Flare ne raconte qu’une partie de l’histoire. La majorité des attaques échappent aux statistiques officielles et ne se manifestent qu’à travers leurs conséquences, parfois dramatiques, comme l’a montré l’effondrement de KNP Logistics. Les fuites publiées par SafePay offrent néanmoins un aperçu brut de victimes qui n’apparaissent nulle part ailleurs et que vous auriez tort de négliger.
Si vous faites partie de ces profils d’entreprises à risque, et si ce n’est pas déjà fait, passez votre exposition en revue et définissez votre capacité à encaisser le choc sans tout arrêter. Identifiez les quelques applications sans lesquelles vous ne facturez plus, vous ne livrez plus, vous n’accueillez plus de patients ou de clients, puis vérifiez que les sauvegardes qui les concernent fonctionnent réellement et mesurez le temps nécessaire pour tout remettre en route, quitte à prévoir un mode dégradé que les équipes pourront utiliser le temps du retour à la normale.
En parallèle, soyez extrêmement attentif à la manière dont circulent les données qui nourrissent le chantage (dossiers clients ou patients entiers dans des partages trop larges, documents financiers ou RH mélangés au reste, identifiants qui traînent dans des fichiers non chiffrés), puis remettez de l'ordre dans vos affaires en classant les informations, en resserrant les droits les plus permissifs et en isolant les ensembles les plus sensibles.
N’oubliez pas enfin vos prestataires clés, infogérant, éditeur métier, cabinet de paie, logisticien. Vérifiez leur historique quand vous le pouvez, y compris à travers les fuites publiques, et adaptez vos contrats, vos exigences et vos plans de secours en conséquence.
Source : Flare
