Le paiement moyen de la rançon s’élève à 1 million de dollars, bien que plus de la moitié des organisations affectées négocie pour un montant inférieur à la demande initiale.
Sophos publie son rapport annuel State of Ransomware, qui révèle que 46 pour cent des organisations interrogées paient une rançon pour récupérer leurs données cryptées. Il s’agit du deuxième pourcentage le plus élevé en six ans.
lire aussi
Près de la moitié des organisations paie une rançon lors d’une attaque par rançongiciel
Néanmoins, 53 pour cent des victimes paient moins que ce que les attaquants exigeaient initialement, souvent après des négociations. Le paiement moyen s’élevait à environ 1 million de dollars.
Les montants des rançons diminuent
Les données sont basées sur une enquête mondiale auprès de 3.400 responsables informatiques et de sécurité. Selon Sophos, le montant moyen des rançons a diminué de 50 pour cent en un an. En 2024, il s’élevait encore à 2 millions de dollars. La demande moyenne de rançon a également baissé, avec une diminution d’un tiers.
Le montant de la rançon exigée par les attaquants dépend en grande partie de la taille de la victime. Pour les grandes entreprises avec un chiffre d’affaires annuel supérieur à 1 milliard de dollars, la demande moyenne était de plus de 5 millions de dollars. Les petites organisations ont reçu des demandes moyennes de 350.000 dollars ou moins.
Les organisations semblent se remettre plus rapidement. Plus de la moitié s’est entièrement remise d’une attaque en une semaine, contre 35 pour cent en 2024. Seuls 18 pour cent ont mis plus d’un mois. Les coûts moyens de récupération ont également diminué : de 2,73 millions de dollars en 2024 à 1,53 million en 2025.
Les vulnérabilités restent la principale porte d’entrée
Dans 40 pour cent des cas, les attaquants ont utilisé une vulnérabilité connue qui n’avait pas encore été corrigée. Le plus grand obstacle pour de nombreuses organisations reste une visibilité insuffisante sur la surface d’attaque. Un manque de ressources et d’expertise joue particulièrement un rôle. Dans les grandes organisations, le manque de connaissances est la cause principale. Les petites entreprises sont plus souvent confrontées à un manque de capacité.
Il est frappant (et en réalité incompréhensible) que l’utilisation des sauvegardes diminue. Seules 54 pour cent des organisations affectées ont utilisé des sauvegardes pour la récupération : le chiffre le plus bas en six ans. En outre, il apparaît que les gouvernements nationaux et locaux paient en moyenne le plus de rançons, avec des montants autour de 2,5 millions de dollars. Les établissements de santé ont payé le moins, avec une moyenne de 150.000 dollars.
Le rapport souligne l’importance de mesures structurelles telles que la gestion des correctifs, la stratégie de sauvegarde et la surveillance. Les organisations qui n’ont pas suffisamment de capacités internes pour cela font de plus en plus appel à des services MDR.