Une étude d’Arctic Wolf révèle que les cybercriminels mènent plus d’attaques par rançongiciel que jamais, mais que la demande de rançon initiale lors de ces attaques a presque diminué de moitié pour atteindre 414 000 dollars.
Les cybercriminels mènent plus d’attaques par rançongiciel que jamais, mais réduisent leurs demandes de rançon initiales. C’est ce qui ressort du Threat Report 2026 d’Arctic Wolf, qui indique que la première demande moyenne est tombée à 414 000 dollars, soit près de la moitié de moins que l’année dernière.
Selon le rapport, il s’agit de la première baisse de la demande de rançon initiale en quatre ans. Les chercheurs affirment que les attaquants demandent délibérément des montants inférieurs afin d’augmenter les chances de paiement effectif. L’impact total des rançongiciels reste toutefois important.
Le rançongiciel reste dominant
En 2025, le rançongiciel représentait 44 % de tous les incidents traités par Arctic Wolf. Il reste ainsi la forme de cyberattaque la plus courante. Les autres incidents fréquemment signalés étaient le Business Email Compromise (26 %) et les fuites de données sans rançongiciel ni implication d’un initié malveillant (22 %).
Dans les incidents de rançongiciel impliquant Arctic Wolf, les criminels ont réclamé au total plus de 302 millions de dollars de rançon. Finalement, les victimes ont payé près de 16,5 millions de dollars. Dans 77 % des cas, les organisations ont décidé de ne pas donner suite à la demande.
lire aussi
L’état réel des ransomwares en 2025 : des demandes en baisse, mais un impact durable
Lorsqu’une négociation avait lieu, l’équipe de réponse aux incidents parvenait souvent à réduire considérablement le montant. Dans 23 % des dossiers, en moyenne 67 % de la demande initiale a été annulée. Grâce à ces réductions et au nombre élevé de refus, les criminels n’ont finalement perçu qu’environ 5 % du montant total réclamé. En d’autres termes : 95 % des sommes demandées n’ont pas été payées.
Tarification ciblée
« Une demande de rançon n’est pas établie au hasard. Les cybercriminels adaptent précisément leur demande en fonction de la victime, du secteur, de l’impact attendu de l’indisponibilité et même du fait que la victime dispose ou non d’une cyberassurance », explique Christopher Fielder, Field CTO chez Arctic Wolf. Des montants initiaux plus bas visent à abaisser le seuil de paiement. Parallèlement, des paiements importants et de notoriété publique incitent certains groupes à continuer de réclamer des montants plus élevés.
L’authentification multifacteur, des sauvegardes fiables et l’application rapide des correctifs restent essentiels pour garder une longueur d’avance sur de telles attaques par rançongiciel. La limitation des droits d’accès et le test régulier d’un plan de réponse aux incidents permettent également de limiter les dommages.