Paiements de rançongiciels 2025 : Moins d'argent, mais plus d'attaques – Un paradoxe de la cybercriminalité

Le bilan de l’année 2025 concernant les paiements de rançon sur la blockchain révèle un paradoxe fascinant : alors que les montants versés aux cybercriminels ont diminué, le nombre d’attaques a connu une hausse sans précédent. Selon une nouvelle analyse de Chainalysis, les paiements de rançon sur la blockchain en 2024 s’élèvent à 820 millions de dollars — une baisse de 8 % par rapport aux 892 millions de dollars estimés en 2024.

Cette évolution montre une tendance significative : après un sommet historique de 1,23 milliard de dollars en 2023, les paiements de rançon diminuent pour la deuxième année consécutive. Mais cette bonne nouvelle n’est qu’une moitié de la vérité. Les mécanismes sous-jacents sont bien plus complexes et soulèvent de nouvelles questions sur l’avenir de la cybercriminalité.

La baisse des paiements : pourquoi les rançons sur la blockchain ont diminué en 2025

La réduction des paiements de rançon ne résulte pas d’une baisse du nombre d’attaques réussies, mais plutôt d’une restructuration fondamentale du marché de la ransomware. La décentralisation des réseaux de cybercriminels a joué un rôle central. Alors que dans les années précédentes, des variantes dominantes comme REvil ou DarkSide contrôlaient le marché, de nombreux petits groupes indépendants ont émergé à leur place.

Cette fragmentation a deux effets : d’une part, elle complique considérablement le suivi des flux financiers. Les analystes blockchain ont de plus en plus de mal à associer des transactions à des opérations de ransomware spécifiques. D’autre part, la multiplication de petits groupes entraîne une stagnation des revenus globaux — une conséquence indirecte des mesures renforcées contre les réseaux de ransomware par les autorités mondiales.

Fait intéressant, cependant, si l’on considère la moyenne des montants de rançon, la situation est différente. Alors que moins de victimes payaient, le montant moyen a augmenté de 368 % : passant de 12 738 dollars en 2024 à 59 556 dollars en 2025. Cela indique que ceux qui payaient étaient confrontés à des demandes de rançon beaucoup plus élevées.

Nombre d’attaques à un niveau record : le revers de la médaille de la tendance ransomware

Ce paradoxe devient encore plus évident lorsqu’on examine les statistiques des attaques elles-mêmes. Le nombre de victimes de ransomware signalées en 2025 a augmenté de 50 % par rapport à l’année précédente — un record dans l’histoire documentée de la ransomware. Malgré la baisse des paiements, 2025 a été l’année avec le plus grand nombre de victimes.

Cette hausse a conduit à une autre statistique remarquable : le montant moyen de rançon par victime a atteint un niveau historiquement bas de 28 %. En d’autres termes, le taux d’attaque a augmenté de façon spectaculaire, tandis que le taux de réussite a diminué. Les experts expliquent cela par la nature de plus en plus opportuniste des campagnes modernes de ransomware.

Il est important de noter que les paiements totaux finaux pourraient atteindre jusqu’à 900 millions de dollars une fois que d’autres cas seront attribués à l’analyse blockchain. Même avec cette marge, la différence entre 2024 et 2025 reste minime, ce qui indique une phase de stagnation dans le secteur de la ransomware — paradoxalement, alors que le nombre d’attaques explose.

Changement de stratégie des cybercriminels : des grandes entreprises aux PME

L’une des évolutions majeures dans le paysage de la ransomware est le changement de cible des attaquants. L’analyse montre que les cybercriminels se tournent de plus en plus vers de petites et moyennes organisations, plutôt que vers de grandes entreprises. Cette stratégie repose sur un calcul simple mais efficace : les victimes plus petites sont statistiquement plus enclines à payer rapidement la rançon demandée.

Ce recentrage explique en partie le nombre accru d’attaques tout en générant des gains globaux moindres. Les attaques spectaculaires contre des entreprises du Fortune 500 deviennent moins fréquentes et moins rentables, car ces organisations sont mieux protégées et disposent de ressources et d’assurances qui réduisent leur propension à payer.

Géographiquement, les États-Unis restent la région la plus touchée, suivis du Canada, de l’Allemagne et du Royaume-Uni. Les cibles les plus courantes dans ces juridictions sont les entreprises manufacturières et les prestataires de services financiers. Cependant, les acteurs de la ransomware opèrent de manière hautement opportuniste : ils choisissent leurs cibles moins en fonction du secteur, mais plutôt en exploitant des services exposés, des mauvaises configurations ou des vulnérabilités récemment découvertes.

Malgré cela, en 2025, plusieurs cas spectaculaires ont montré que les opérations de ransomware à grande échelle ne sont pas disparues. L’attaque contre Jaguar Land Rover a causé un préjudice estimé à 2,5 milliards de dollars, ce qui en fait l’un des incidents les plus coûteux. Une autre attaque menée par le groupe Scattered-Spider a paralysé la chaîne de magasins britannique Marks & Spencer, entraînant également des pertes importantes. Ces cas démontrent que les groupes de ransomware de premier plan restent capables de mener des opérations à grande échelle et très rentables.

L’avenir de la menace ransomware continuera probablement à évoluer selon cette dynamique : un marché dominé par des groupes décentralisés, plus petits, qui privilégient la masse plutôt que de grands projets, interrompu par des attaques rares mais dévastatrices menées par des bandes cybercriminelles spécialisées.