InfiniteFlow-stock.adobe.com
Rançongiciel : une année 2025 qui interroge sur sa capacité à faire recette
2025 fut une année paradoxale pour le ransomware : le nombre des attaques a atteint un niveau record, mais les paiements ont reculé. Les organisations semblent devenues plus résilientes techniquement.
Le rançongiciels ne paie décidément plus autant qu'il l'eut fait. Selon Coveware, le taux de paiement est tombé en-dessous de 20 % au dernier trimestre 2025. Suivant un point d'observation différent, Chainanalysis estime que le taux de paiement s'est établi à 28 % l'an passé. Dans les deux cas, c'est bien le niveau le plus bas jamais observé.
En volume, Chainalysis estime que les paiements de rançons ont reculé de 8 % à 820 millions USD en 2025, tandis que le nombre des attaques déclarées a augmenté de 50 %. Pour Corsin Camichel, fondateur de eCrime.ch, "on observe une évolution structurelle dans les attaques ; on constate moins d'attaques de grande envergure qui font la une des journaux, et davantage d'attaques visant les petites et moyennes entreprises".
Le paiement médian a explosé de 368 % à près de 59 000 USD, suggérant que les attaques ciblent désormais des organisations avec plus de données sensibles et une interruption opérationnelle plus coûteuse. Cette concentration s'accompagne d'une fragmentation de l'écosystème cybercriminel : le nombre des enseignes n'a jamais été aussi élevé, même si une poignée d'entre elles apparaît dominer largement, au premier rangs desquelles Qilin.
Les acteurs criminels et les groupes liés aux États partagent désormais les mêmes fournisseurs d'hébergement "bulletproof", les réseaux de proxys résidentiels et les chargeurs de malware. Cette convergence signifie que la disruption de l'infrastructure affecte simultanément le crime crapuleux et les opérations d'espionnage étatique. Comme l'indique Chainalysis, "ce même écosystème axé sur les services sert également de base à des acteurs malveillants liés à des États qui mènent des activités d'espionnage, des opérations d'influence et des campagnes à des fins financières".
Déclin économique des campagnes de "double extortion" zero-day
Les campagnes comme celles dont Cl0p s'est fait une spécialité - extorsion simple à partir de données volées en exploitant de manière industrialisée une vulnérabilité inédite - ont de quoi préoccuper ceux des cybercriminels qui ont fait le pari de renoncer au chiffrement. Car selon Coveware, le taux de paiement pour ces attaques s'est effondré.
Pourquoi ? Les organisations auraient compris que "payer pour la suppression de données ne dispense pas des obligations légales ou réglementaires en matière de notification. Cela ne réduit pas de manière significative le risque de litige".
En termes de points d'entrée, l'accès à distance via les identités a surpassé l'exploitation de vulnérabilités logicielles comme vecteur dominant. Les attaquants opèrent désormais à l'intérieur des workflows légitimes plutôt que de les briser, exploitant la dette de configuration et les identités résiduelles.
Les organisations de 11 à 100 employés représentent 38 % des attaques déclarées, contre seulement 2 % pour les entreprises de plus de 100 000 employés. Les attaques misent désormais sur l'impact opérationnel et la vitesse de récupération plutôt que sur la taille des organisations.
Pour Sophos toutefois, 29 % des incidents sont attribués à des vulnérabilités exploitées, tandis que 40 % citent une "lacune de sécurité inconnue". Les PME identifient spécifiquement le manque de personnel/capacité comme facteur clé (42 %), montrant que les contraintes de ressources persistent indépendamment de la taille.
Taux de chiffrement en fort recul
Le taux de chiffrement des données a chuté à 49 %, le niveau le plus bas en cinq ans, tandis que le taux des attaques bloquées avant chiffrement a plus que doublé (47 %). Cela indique une nette progression de la maturité défensive des organisations.
La demande de rançon médiane a reculé chuté de 56 % à 1,2 million USD, selon Sophos, pour un taux de paiement autour de 20 %. Et tout cela tandis que les coûts de récupération ont diminué. Paradoxalement, 40 % des organisations rapportent une pression accrue de la direction supérieure sur les équipes IT, et 35 % expriment des sentiments de culpabilité.
L'année 2025 a démontré que la résilience technique seule ne suffit plus à contrer le ransomware. Les attaquants ont évolué vers des modèles d'attaque plus subtils, exploitant les identités numériques et les infrastructures partagées entre crime organisé et acteurs étatiques. Pour les décideurs informatiques, l'enseignement est clair : la défense doit désormais intégrer une approche holistique combinant gouvernance des identités, réduction de la surface d'attaque exposée et préparation aux conséquences métiers bien au-delà du simple chiffrement des données.
