Rançongiciels : le taux de paiement chute à 23 %, le vol de données devient la priorité

• Le taux de paiement des attaques par rançongiciels atteint 23 % au troisième trimestre 2025.
• Le vol et la publication de données (exfiltration) concerne 76 % des attaques recensées.
• Le marché se scinde entre RaaS (rançongiciel-as-a-service) orienté volume et groupes ciblant de grandes entreprises.

Une baisse continue du taux de paiement

Selon le rapport du quatrième trimestre 2025 de Coveware, la part des victimes qui paient une rançon est tombée à 23 % au troisième trimestre 2025. Après un pic d’environ 85 % en 2019, le taux a progressivement décru : 27 % au premier trimestre 2025, 26 % au deuxième, puis 23 % au troisième.

L’exfiltration de données, nouvel objectif principal

Les chercheurs notent que l’exfiltration de données intervient dans 76 % des attaques recensées au troisième trimestre 2025. Le vol d’informations sensibles — clients, contrats, données internes — est désormais un levier plus puissant que le simple chiffrement des systèmes : même lorsque les entreprises peuvent restaurer des sauvegardes, la menace de publication des données ajoute une pression supplémentaire, avec des impacts réputationnels et juridiques difficiles à contrer.

Deux segments de marché : RaaS et attaques ciblées

Le secteur se divise entre les acteurs du RaaS, qui fournissent des rançongiciels à la demande et privilégient le volume (ciblant souvent des entreprises de taille moyenne), et les groupes qui mènent des opérations longues et ciblées contre de grandes organisations. Cette polarisation traduit une professionnalisation croissante du crime organisé numérique.

Montants des rançons en recul

En parallèle à la baisse des taux de paiement, le montant moyen des rançons déclarées a chuté à 376 941 dollars, soit une baisse de 66 % par rapport au deuxième trimestre 2025. Le montant médian s’établit à 140 000 dollars, en baisse de 65 % sur la même période. Coveware attribue cette diminution à la résistance accrue des grandes entreprises et aux limites financières des PME ciblées par des opérations de masse.

Conséquences et recommandations pour les entreprises

Coveware anticipe que, faute de marges suffisantes sur les attaques de volume, les cybercriminels concentreront davantage leurs efforts sur les grandes entreprises disposant de moyens financiers supérieurs. Pour les organisations, cela signifie qu’il est impératif de renforcer les défenses :

• investir dans des stratégies et procédures de sécurité robustes ;
• préparer et tester des plans de réponse aux incidents ;
• effectuer des tests d’intrusion et corriger les vulnérabilités avant qu’elles ne soient exploitées ;
• prévoir des capacités de restauration et des ressources juridiques et communicationnelles en cas d’exfiltration.

Les auteurs du rapport soulignent également un changement de pratique : les conseils juridiques en faveur du paiement pour « acheter le silence » se font plus rares, et refuser le paiement devient une option courante lorsqu’une fuite de données est en jeu.