Parmi les trois familles que j'ai évoquées, les plus dangereux sont les groupes de criminels organisés, qu'ils soient autonomes ou liés à des mafias. Ces trois ou quatre dernières années, ils ont réussi leur transformation numérique en adoptant un mode plateforme. Avant, des cybercriminels expérimentés développaient leurs outils, attaquaient, puis récupéraient leurs gains. Aujourd'hui, ils ont créé des plateformes, comme Ryuk, REvil, Dark Side ou Conti. Ils y recrutent des affiliés, des cybercriminels débutants qui conduisent l'attaque avec les outils des plus expérimentés. Ils disposent de vrais logiciels d'attaque intégrés, avec un module d'attaque, d'exfiltration de données et de négociation de la rançon. Les affiliés récupèrent 70 % de cette dernière et la plateforme 30 %. Le quadruplement du nombre de cyberattaques par rançongiciel ces dernières années est lié à cette nouvelle échelle d'attaque, plus qu'au télétravail ou à la pandémie comme on a pu l'entendre.
La majorité de ces groupes criminels est localisée en Europe de l'Est, dans des pays russophones ou en Russie, et est organisée en équipes de dix à vingt personnes. Quelques-unes de ces sortes de PME du cybercrime ont démantelées et nous ont fourni des informations. Les États-Unis sont mobilisés sur ce sujet, qui était au cœur de la rencontre entre les présidents Joe Biden et Vladimir Poutine il y a quelques mois. En effet, même si la Russie ne mandate pas ces attaques, elle a une forme de responsabilité une fois que les groupes criminels et les individus ont été identifiés.