Le modèle économique des ransomwares montre des signes d’essoufflement. Selon les derniers chiffres de Chainalysis, seuls 23 % des entreprises victimes ont versé une rançon au troisième trimestre 2025 – un niveau historiquement bas. Cette tendance, amorcée depuis près de deux ans, s’accompagne d’une réduction des montants exigés, désormais estimés en moyenne à 324 000 €, contre plus de 601 000 € il y a deux ans. Pour la première fois depuis l’apparition du phénomène à grande échelle, la rentabilité du chantage numérique est en déclin.
« Le ransomware ne disparaît pas ; il perd de son pouvoir d’intimidation. »
Ce recul ne résulte pas d’un événement isolé mais d’une série de facteurs convergents. D’un côté, les organisations renforcent leurs défenses et leurs plans de continuité ; de l’autre, les autorités accentuent leur pression pour décourager tout paiement. Le FBI, l’ANSSI et Europol tiennent le même discours : céder, c’est alimenter le système. Cette évolution culturelle pèse sur le modèle financier des attaquants : moins de rançons payées, moins d’argent à redistribuer aux affiliés, et donc une baisse d’attractivité pour les recrues du cybercrime-as-a-service.
Les données publiées par Coveware confirment cette dynamique : sur la période juillet–septembre 2025, la part des entreprises acceptant de payer a reculé de huit points par rapport au trimestre précédent. Surtout, le montant médian des rançons versées a chuté de 25 %. Les grandes entreprises refusent désormais systématiquement de négocier, préférant activer leurs sauvegardes et rétablir leurs systèmes, quitte à subir une interruption temporaire d’activité. Cette stratégie de résilience, longtemps théorique, commence à produire des effets tangibles.
« Réduire la rentabilité du crime revient à fragiliser toute sa chaîne de valeur. »
Mais les groupes cybercriminels ne sont pas inactifs. Le rapport ENISA Threat Landscape 2025 relève une mutation profonde du mode opératoire : dans 76 % des attaques recensées, les pirates ont couplé chiffrement et exfiltration de données. Le chantage ne repose plus uniquement sur le blocage des systèmes, mais sur la menace de divulgation publique d’informations sensibles : données clients, contrats, codes sources, correspondances internes. Cette stratégie vise à maintenir la pression sur la victime même lorsque celle-ci dispose de sauvegardes efficaces.
Cependant, cette méthode atteint ses limites. Les chiffres de Coveware indiquent que, lorsque l’attaque se limite à une exfiltration sans chiffrement, seuls 19 % des victimes cèdent à la rançon. Le modèle du « double chantage » fonctionne surtout lorsqu’il s’appuie sur une perturbation opérationnelle immédiate. Sans cette contrainte, les victimes disposent du temps et de l’espace nécessaires pour se coordonner avec les autorités et les prestataires de réponse à incident.
« Le chantage à la donnée ne remplace pas la paralysie ; il en prolonge simplement la menace. »
Autre signe d’évolution : la nature des cibles. Les groupes tels qu’Akira et Qilin, régulièrement mentionnés par Unit 42 (Palo Alto Networks), concentrent désormais leurs efforts sur les entreprises de taille moyenne. Les grands groupes, mieux préparés, sont moins rentables et plus susceptibles de signaler l’incident aux autorités. À l’inverse, une PME de 300 salariés, dépendante de ses données métier et souvent sous-assurée, représente une proie plus accessible : infrastructure simple, moindre supervision, et plus forte propension à payer pour reprendre son activité.
Les experts observent aussi une diversification des modes d’intrusion. Là où le phishing et les vulnérabilités VPN dominaient encore en 2023, les attaquants privilégient désormais la compromission d’accès à distance ou le rachat de comptes compromis sur des places de marché clandestines. Unit 42 rapporte une recrudescence d’offres d’accès initial (Initial Access Brokers) : des courtiers qui vendent l’entrée dans un réseau d’entreprise pour quelques milliers de dollars. Dans certains cas, des employés eux-mêmes se voient proposer une rémunération pour faciliter cette compromission.
Cette professionnalisation du recrutement d’« insiders » traduit une mutation structurelle : les groupes cybercriminels fonctionnent de plus en plus comme des organisations commerciales, segmentées et opportunistes. Le ransomware n’est plus un produit unique mais un service flexible, ajusté au contexte et au niveau de sécurité de la cible. Certains opérateurs se spécialisent dans la phase d’exfiltration, d’autres dans la négociation ou dans la publication de données. Le chantage devient une industrie.
Pourtant, ce système s’essouffle. D’après Chainalysis, les flux financiers illicites liés aux ransomwares ont reculé de 35 % depuis 2023, malgré une activité constante en nombre d’attaques. Cette baisse des revenus traduit une dissymétrie croissante : les pirates dépensent toujours autant pour pénétrer les réseaux, mais récupèrent moins. Le retour sur investissement diminue, et avec lui l’enthousiasme des affiliés qui louaient leurs outils dans des programmes Ransomware-as-a-Service.
« La résilience des victimes a un effet direct sur l’économie du crime. »
Les entreprises, quant à elles, investissent massivement dans la prévention. Selon Sophos State of Ransomware 2025, plus de 70 % des organisations interrogées disposent désormais de sauvegardes déconnectées et testées régulièrement. Les politiques de restauration rapide permettent de limiter les interruptions, et la collaboration avec les assureurs et les CERT nationaux améliore la gestion de crise. La sensibilisation des équipes, longtemps perçue comme accessoire, devient une priorité stratégique.
Ce changement de posture se traduit également par une évolution du discours institutionnel. L’ANSSI, la CISA et Europol insistent sur l’importance de la transparence : déclarer une attaque, même partielle, permet d’alimenter les bases de renseignement technique et d’améliorer la défense collective. Le tabou du ransomware se lève progressivement. Les entreprises assument davantage de communiquer, rompant le cercle du silence qui faisait la force des attaquants.
Pour les groupes criminels, cette baisse de rentabilité a des conséquences internes. Plusieurs collectifs ont disparu ou fusionné faute de revenus suffisants pour rémunérer leurs affiliés. D’autres, comme Qilin, cherchent de nouvelles formes de monétisation : vente de données, espionnage économique, voire exploitation d’accès persistants revendus à des États. La frontière entre cybercrime et cyberespionnage devient plus floue, et les objectifs financiers cèdent parfois la place à des motivations politiques ou stratégiques.
« Le ransomware n’est plus seulement un business ; il devient un instrument de pouvoir. »
Reste que cette transformation ne doit pas masquer une réalité : le risque persiste, et la sophistication technique continue d’augmenter. Les attaquants exploitent désormais des outils d’automatisation, des kits exploitant des vulnérabilités Zéro Day, et même des modules alimentés par IA pour identifier les données les plus sensibles. Les campagnes sont moins nombreuses, mais plus ciblées et mieux préparées.
Les chiffres du troisième trimestre 2025 traduisent donc un paradoxe. Le ransomware perd de sa rentabilité immédiate, mais gagne en technicité et en discrétion. Le modèle du chantage classique s’érode, remplacé par un écosystème où la donnée devient la ressource première. Pour les défenseurs, cela signifie une chose : la lutte se déplace du chiffrement vers la prévention de l’exfiltration et le contrôle des accès.
Dans ce contexte, la stratégie la plus efficace reste celle qui empêche le chantage de commencer : sauvegardes hors ligne, segmentation réseau, surveillance comportementale, et entraînement régulier des équipes. Les progrès de ces dernières années montrent que la résilience paie – littéralement. La résilience collective, plus que la technologie, pourrait bien signer la fin du chantage numérique.
