Les négociations professionnelles avec les cybercriminels peuvent réduire fortement la rançon demandée lors dattaques par ransomware. Cest ce qui ressort des données de réponse aux incidents du rapport Arctic Wolf 2026 Threat Report.
Les négociations avec les groupes de ransomware entraînent en moyenne une réduction de 67 % de la rançon exigée. Lorsque l’on inclut également les organisations qui ne paient finalement pas, l’économie financière s’élève à 94 % de la demande initiale. C’est ce qui ressort des données d’Arctic Wolf sur les dossiers de réponse aux incidents traités.
Payer la rançon ?
Arctic Wolf conseille aux organisations de ne pas payer de rançon. La décision finale appartient toutefois toujours à la victime. Lorsque les entreprises procèdent néanmoins au paiement, un accompagnement professionnel peut, selon le rapport, limiter considérablement le montant final. Les organisations qui négocient elles-mêmes ou répondent sans soutien paient, selon létude, plus souvent une part plus importante de la demande initiale.
Il existe peu de chiffres officiels sur les paiements de ransomware. De nombreuses organisations ne rendent pas ces paiements publics. Des études indépendantes suggèrent quenviron 30 % des victimes paient lintégralité du montant exigé. Une étude britannique montre par ailleurs que 18 à 20 % des victimes paient en moyenne encore plus que la demande initiale, notamment en raison des coûts liés à lachat et au transfert de cryptomonnaies.
Récemment, une école anversoise et le fournisseur néerlandais Odido ont encore été touchés par une cyberattaque. Les deux organisations ont finalement refusé de payer la rançon.
Les négociations exigent une expertise
Selon Arctic Wolf, négocier avec des groupes de ransomware demande une expertise spécifique. Les analystes examinent dabord quel groupe est à lorigine de lattaque. Pour ce faire, ils étudient les incidents passés, la réputation du groupe et sa volonté de réduire le montant exigé.
Des facteurs juridiques jouent également un rôle. Sil savère quune attaque est liée à un régime sanctionné ou à une organisation terroriste, le paiement est légalement interdit. Dans de tels cas, les négociations sarrêtent et lattention se porte entièrement sur la restauration des systèmes.
Les spécialistes analysent par ailleurs si des données ont réellement été volées. Dans environ 98 % des attaques par ransomware, les attaquants emportent des données. Les victimes ne paient alors souvent pas pour le déchiffrement des systèmes, mais pour éviter que les données ne soient rendues publiques.
Risques supplémentaires liés aux groupes de ransomware
Même lorsque les victimes paient, il ny a, selon Arctic Wolf, aucune garantie que les données soient réellement supprimées. Dans plusieurs incidents, les chercheurs ont retrouvé des données volées qui, selon les victimes, auraient déjà dû être supprimées.
De plus, les chercheurs signalent une tendance où certains réseaux cybercriminels collaborent avec le crime organisé local. Une pression physique peut alors être exercée sur les employés des organisations victimes pour forcer le paiement. Ce développement est décrit par les chercheurs comme du « violent crime-as-a-service ».
Selon Arctic Wolf, les gouvernements et les législateurs continuent de conseiller aux organisations de ne pas payer de rançon. Parallèlement, les chercheurs affirment que les entreprises doivent être préparées au scénario dans lequel des négociations ont tout de même lieu, afin de limiter autant que possible limpact dune attaque.