Il y a quelques années, l'image classique du ransomware était celle d'un cartel numérique : de nombreuses attaques, de nombreuses victimes paient et un flux constant d'argent vers les criminels. Toutefois, les données publiques les plus récentes donnent une image plus complexe et, dans une certaine mesure, plus préoccupante. Selon l'analyse de la plate-forme de renseignement dans Lockchain Analyse en chaîne la proportion de victimes qui finissent par payer les extorsions est tombée à 28 % l'an dernier, le pourcentage le plus faible enregistré à ce jour, bien que le volume d'attaques allégué ait été tiré.
La baisse du taux de paiement - de près de 79% en 2022 à seulement 28% récemment - ne signifie pas que l'ansomware a été vaincu. Ce qu'il montre, c'est une économie criminelle en transformation : plus d'acteurs, des tactiques plus raffinées et une capacité à extraire plus d'argent de moins de victimes. L'analyse en chaîne estime qu'au moment de ses derniers dossiers, les paiements de la chaîne Ransomware en 2025 s'élevaient à environ 820 millions de dollars, et elle avertit que ce chiffre pourrait être proche ou même supérieur à 900 millions de dollars à mesure que d'autres incidents et transactions sont identifiés. Vous pouvez voir le rapport et ses chiffres en détail sur le site d'analyse en chaîne: Analyse en chaîne - Rapport Ransomware.
Il y a un paradoxe évident : si le nombre d'attaques annoncées a augmenté d'environ 50 % par an, le nombre total de paiements est demeuré relativement stable. Cela signifie que les criminels ont changé leur approche. Au lieu de compter sur un grand nombre de petits paiements, certains groupes se concentrent sur les victimes qui peuvent payer des montants beaucoup plus élevés. En fait, le sauvetage rémunéré médian a augmenté de façon significative : selon l'analyse en chaîne, il a augmenté de 368 %, passant d'environ 12 738 $ en 2025 à environ 59 556 $ en 2025. Moins de victimes paient, mais ceux qui paient livrent des montants beaucoup plus importants.
Derrière ce changement se trouvent de multiples facteurs. L'analyse en chaîne met en évidence des améliorations dans la réponse aux incidents des entreprises et des équipes de cybersécurité, une pression réglementaire et opérationnelle accrue des autorités nationales et internationales, et une fragmentation du marché du Ransomware qui a permis non seulement d'avoir une ou deux familles dominantes, mais aussi d'avoir des dizaines de groupes actifs. Cette observation est alignée sur les rapports d'autres consultants tels que Coveware qui ont également documenté la réduction soutenue des taux de paiement en 2025.
Une donnée frappante du rapport est le nombre de groupes d'extorsion actifs: 85 identifiés en 2025, par rapport à la dynamique précédente dans laquelle peu de bandes contrôlaient une grande partie du marché via les plateformes RaaS (ransomware- a- service). Cette fragmentation, paradoxalement, accroît le risque pour les organisations car elle multiplie les variantes et les moyens d'attaque. L'analyse en chaîne met également en lumière les incidents à impact élevé qui continuent de montrer que le potentiel destructeur de Ransomware n'a pas diminué : des lacunes affectant les grandes entreprises et exposant des millions de dossiers à des attaques qui génèrent des dommages économiques de plusieurs milliards.
Un autre maillon essentiel de cette chaîne criminelle est les « courtiers d'accès initiaux », acteurs spécialisés dans la vente de l'accès aux réseaux commis. En 2025, les revenus des CCI étaient relativement modestes par rapport au total des affaires Ransomware - environ 14 millions de dollars, seulement 1,7 % - mais leur activité semble fonctionner comme un indicateur d'avance : les pics dans les entrées de paiement aux CCI précèdent souvent une augmentation des paiements de rançon et dans les publications avec des données filtrées environ quatre semaines plus tard. En outre, le prix moyen de l'accès à un réseau a diminué régulièrement, ce qui laisse supposer que l'automatisation, l'utilisation d'outils assistés par l'IA et l'offre excédentaire de références filtrées ont couvert ce marché. L'analyse en chaîne a enregistré une baisse d'environ 1 427 $ au premier trimestre de 2023 à environ 439 $ au premier trimestre de 2026.
Que signifie tout cela pour une organisation préoccupée par sa cybersécurité? Premièrement, que le risque est mesuré non seulement dans la probabilité d'être attaqué, mais dans la capacité de l'agresseur à infliger des dommages réels et monétaires. Bien que moins de victimes paient aujourd'hui, celles qui le font peuvent faire face à des demandes beaucoup plus élevées de sauvetage et à des conséquences réglementaires, contractuelles et de réputation pertinentes. Dans ce contexte, la prévention demeure cruciale : de bonnes pratiques de sauvegarde, la segmentation du réseau, la détection précoce et des plans d'intervention éprouvés réduisent la probabilité qu'une intrusion se termine par l'extorsion. Pour obtenir des conseils et des ressources pratiques, les organismes publics fournissent des guides à jour : l'Agence américaine pour l'infrastructure et la cybersécurité. (CISA) tient à jour les documents sur Ransomware et les interventions en cas d'incident https: / / www.cisa.gov / ransomware et Europol publie une analyse des cybermenaces et des tendances sur son portail de rapports.
De plus, la pression conjointe des organismes de réglementation et des organismes de détection et de répression a contribué à réduire la volonté de payer : les opérations internationales, les sanctions et la capacité de suivre les flux financiers dans la chaîne de verrouillage ont augmenté le coût opérationnel des criminels. Cependant, les chercheurs de l'analyse en chaîne avertissent que cela ne signifie pas que l'ansomware disparaîtra; il est plutôt en phase d'adaptation. Les groupes perfectionnent leurs techniques : sélection plus précise des victimes, extorsion combinée (blocage des données + filtrage) et demandes accrues pour s'assurer que la négociation en vaut la peine.
D'un point de vue défensif, cela implique deux leçons claires. La première est que la résilience organisationnelle - la capacité de détecter, de contenir, de récupérer et de communiquer - est plus précieuse que jamais. La seconde, peut-être la plus difficile, est que le coût d'une attaque réussie est en train de bouger : il importe à la fois de réduire la probabilité d'intrusion et de minimiser l'impact économique et opérationnel lorsque le pire scénario se produit.
Si vous cherchez à approfondir les chiffres et les méthodologies qui sous-tendent ces conclusions, le rapport Chainalysis fournit une ventilation des paiements en chaîne, des groupes actifs, des incidents importants et des tendances du marché, tandis que les entreprises spécialisées en réponse à des incidents tels que Coveware ils publient des analyses sur les prix de sauvetage, la dynamique du marché et les cas réels. Pour compléter ces études par les recommandations d'organismes tels que CISA et les rapports des organismes internationaux aident à élaborer une stratégie de sécurité plus globale et plus résiliente.
Bref, la diminution du taux de paiement n'est pas une raison de relâchement. C'est le signe d'une transformation de l'écosystème criminel: moins de victimes paient, vous sauvez plus pour ceux qui le font, et un marché plus fragmenté et automatisé qui oblige les entreprises et les responsables de la sécurité à mettre à jour leurs défenses d'urgence. La lutte contre le Ransomware n'est pas terminée; elle a changé de forme et nécessite un mélange de préparation technique, d'intervention coordonnée et de collaboration avec les autorités pour atténuer ses impacts.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...