Ransomware 2026 : que se passe-t-il quand les entreprises paient – et quand elles ne paient pas

7 min de lecture

La direction est réunie en cellule de crise, les serveurs sont chiffrés, l’activité est à l’arrêt. Les attaquants exigent 800 000 euros. Le responsable informatique annonce que les sauvegardes ont trois semaines. Et la question que personne ne veut poser s’impose : on paie ? La réponse est plus complexe qu’un simple oui ou non. Mais les données montrent clairement pourquoi payer est presque toujours la mauvaise décision.

L’essentiel en bref

• La disposition à payer en cas de ransomware a atteint un niveau historiquement bas : seulement 25 % des victimes ont payé au quatrième trimestre 2024 (Coveware).
• La rançon moyenne versée est passée de 2 millions de dollars américains en 2024 à environ 592 000 dollars américains fin 2025 (Coveware T4 2025).
• 80 % des victimes de ransomware en Allemagne sont des PME (BKA Bundeslagebild Cybercrime 2024).
• Le coût total des cyberattaques en Allemagne a atteint 266,6 milliards d’euros en 2024, soit une hausse de 29 % (Bitkom).
• Les entreprises qui paient récupèrent en moyenne seulement 60 % de leurs données. Une restauration complète reste l’exception.

Les chiffres derrière le dilemme

L’évolution des deux dernières années dessine une tendance nette : de moins en moins d’entreprises paient. Selon les rapports trimestriels de Coveware, spécialiste de la négociation de ransomware, le taux de paiement est tombé au quatrième trimestre 2024 à un plus bas historique de 25 %. En 2025, il a légèrement remonté à 28 %, mais reste très en dessous des 62,8 % enregistrés en 2023.

Dans le même temps, les montants moyens versés diminuent. Alors que les entreprises payaient en moyenne 2 millions de dollars américains en 2024, la moyenne au quatrième trimestre 2025 s’établissait à 592 000 dollars américains. La médiane était de 325 000 dollars américains. Au troisième trimestre 2025, la moyenne était même tombée à 377 000 dollars américains, soit une baisse de 66 % par rapport au trimestre précédent.

Ces chiffres racontent deux histoires en même temps. La bonne nouvelle : les entreprises apprennent à ne pas payer. La mauvaise : les dommages globaux augmentent malgré tout, car les coûts liés aux interruptions d’activité, à la restauration et aux atteintes à la réputation dépassent de loin le montant de la rançon. Selon l’IBM Cost of a Data Breach Report 2025, le coût total moyen d’un incident ransomware s’élève à 5,13 millions de dollars américains, qu’une rançon ait été versée ou non.

Ce qui se passe quand les entreprises paient

L’idée qu’un paiement rétablit la situation normale est l’illusion la plus dangereuse en matière de défense contre les ransomwares. La réalité est tout autre.

Premièrement, la restauration des données est incomplète. En moyenne, les entreprises qui paient ne récupèrent qu’environ 60 % de leurs données. Les outils de déchiffrement fournis par les attaquants sont fréquemment lents et défaillants. Certains types de fichiers ne sont pas du tout déchiffrés. Les bases de données actives au moment du chiffrement sont souvent corrompues et doivent malgré tout être restaurées depuis des sauvegardes.

Deuxièmement, le paiement fait de l’entreprise une cible récurrente. Les groupes de ransomware échangent des informations sur les victimes qui ont payé. Celui qui a payé une fois envoie un signal clair : il y a de l’argent à prendre ici, et les failles de sécurité existent probablement encore. Plusieurs études publiées par des éditeurs de sécurité montrent que les entreprises ayant déjà payé sont nettement plus susceptibles d’être à nouveau attaquées.

Troisièmement, les coûts annexes sont considerables. Au paiement de la rançon s’ajoutent les frais d’investigation forensique, de conseil juridique, de gestion de crise, de notification des clients concernés au titre du RGPD, la hausse des primes d’assurance et souvent des mois de perte de productivité. Ces coûts dépassent typiquement la rançon d’un facteur trois à cinq.

Quatrièmement, il existe des risques réglementaires. Dans l’UE, le paiement d’une rançon n’est pas illégal en soi, mais il peut contrevenir au droit des sanctions si les destinataires figurent sur des listes de sanctions. L’Office of Foreign Assets Control (OFAC) aux Etats-Unis et les instances européennes compétentes tiennent à jour ces listes. Une entreprise qui, sans le savoir, verse une rançon à un groupe sanctionné s’expose à des poursuites pénales. Le BSI et les autorités répressives de l’UE déconseillent explicitement tout paiement. Les entreprises relevant de NIS2 doivent déclarer les incidents dans les 24 heures et risquent des contrôles administratifs supplémentaires si elles ont payé.

Cinquièmement, chaque paiement finance l’écosystème criminel. Les groupes de ransomware opèrent comme des entreprises professionnelles disposant de développeurs, d’affiliés et de personnel de support. Les revenus tirés des rançons servent à perfectionner les outils d’attaque, à recruter de nouveaux affiliés et, dans certains cas, à financer des opérations soutenues par des Etats. Selon Chainalysis, le total des paiements versés aux groupes de ransomware en 2024 s’est élevé à 813,55 millions de dollars américains. Chaque paiement individuel renforce cet écosystème.

Ce qui se passe quand les entreprises ne paient pas

Ne pas payer n’est pas un blanc-seing. Cela signifie que la reconstruction prend plus de temps et mobilise davantage de ressources opérationnelles. Mais les résultats sont meilleurs à long terme.

Selon Sophos, le processus de restauration sans paiement dure en médiane 14 à 30 jours, selon la complexité de l’environnement informatique et la qualité des sauvegardes disponibles. Durant cette période, des processus d’urgence se mettent en place : des flux de travail manuels remplacent les processus digitaux, les systèmes critiques sont restaurés en priorité et l’analyse forensique identifie le vecteur d’attaque. C’est douloureux et cela coûte du chiffre d’affaires. Mais cela résout le problème réel au lieu de n’en traiter que les symptomes.

Un avantage souvent sous-estimé du refus de paiement : le traitement forensique sans contrainte de temps. Les entreprises qui paient subissent la pression de remettre rapidement en production les systèmes déchiffrés, souvent sans comprendre pleinement la cause profonde. Les entreprises qui ne paient pas et reconstruisent proprement ont l’occasion d’améliorer fondamentalement leur architecture de sécurité. Beaucoup de responsables informatiques reconnaissent a posteriori que la reconstruction forcée a durablement renforcé leur niveau de sécurité.

Les entreprises qui ne paient pas s’en sortent mieux à long terme parce qu’elles sont contraintes de réellement combler leurs failles de sécurité. Le paiement atténue la douleur sans en supprimer la cause. Celui qui paie en laissant la même vulnérabilité ouverte sera de nouveau attaqué. Celui qui ne paie pas et ferme la faille a durablement élevé son niveau de sécurité.

La clé réside dans la préparation. Les entreprises dotées de stratégies de sauvegarde testées, d’un plan de réponse aux incidents documenté et d’une cyber-assurance couvrant la réponse aux incidents sont en mesure de surmonter un incident ransomware sans payer. Les 36 % qui n’ont pas eu à payer en 2025 avaient généralement déjà mis ces bases en place.

Les PME allemandes, principale cible

En Allemagne, les ransomwares frappent de manière disproportionnée les PME. Selon le BKA Bundeslagebild Cybercrime 2024, 80 % de toutes les victimes de ransomware sont des petites et moyennes entreprises. Le BSI fait état de 950 attaques ransomware déclarées, le nombre réel étant sans doute bien supérieur. De nombreuses PME ne signalent pas les incidents pour éviter les atteintes à leur réputation. Le nombre réel d’attaques est donc probablement nettement plus élevé.

Cette vulnérabilité a des causes structurelles. Les PME satisfont en moyenne seulement 56 % des exigences fondamentales en matière de sécurité informatique, tout en surestimant fréquemment leur propre niveau de protection. 83 % des PME souffrent d’une pénurie massive de spécialistes en informatique. Une équipe sécurité dédiée, capable de gérer professionnellement un incident ransomware, n’existe pas dans la plupart des entreprises de taille intermédiaire.

Le BSI recommande le CyberRisiko-Check selon la norme DIN SPEC 27076 comme point d’entrée pour les PME. Ce contrôle standardisé identifie les lacunes les plus importantes et ne coûte que quelques milliers d’euros. Par ailleurs, la Fédération et les Länder proposent des programmes de financement pour le conseil en sécurité informatique destiné aux PME.

L’autre point de vue : quand payer peut être rationnel

Il existe des scénarios où le refus de payer menace l’existence même de l’entreprise. Un hôpital dont les données patients sont chiffrées et qui ne dispose pas de sauvegardes récentes se trouve dans une situation bien différente de celle d’une entreprise logicielle dotée de systèmes redondants. Une entreprise industrielle qui perd des revenus à six chiffres par jour d’arrêt calcule le seuil de rentabilité autrement.

Dans ces cas extrêmes, le paiement peut être la décision pragmatique si trois conditions sont réunies : les sauvegardes sont réellement inutilisables, l’interruption d’activité cause des dommages supérieurs à la rançon, et un prestataire professionnel de négociation est mandaté. Ce dernier peut, selon Coveware, réduire la demande en moyenne de 47 %.

Mais même dans ce cas, le paiement ne doit jamais intervenir sans réponse aux incidents en parallèle. Le vecteur d’attaque doit être identifié et neutralisé. Sinon, le prochain chiffrement n’est qu’une question de temps.

Checklist : préparation contre les ransomwares

Prévention

• Mettre en oeuvre la stratégie de sauvegarde 3-2-1 : 3 copies, 2 supports, 1 copie hors site, testée régulièrement
• Implémenter la segmentation réseau : séparer les réseaux de production, bureautique et sauvegarde
• Activer l’authentification multifacteur pour tous les accès distants et les comptes privilégiés
• Etablir une gestion des correctifs avec une fenêtre maximale de 72 heures pour les vulnérabilités critiques

Préparation à une situation de crise

• Documenter le plan de réponse aux incidents : qui décide, qui communique, qui pilote la forensique
• Conserver hors ligne les coordonnées des prestataires de réponse aux incidents et d’un avocat spécialisé
• Vérifier et maintenir à jour la cyber-assurance incluant une couverture de réponse aux incidents
• Organiser au moins une fois par an un exercice de simulation : jouer un scénario ransomware

En situation de crise

• Isoler immédiatement les systèmes compromis, ne pas les éteindre (préserver les données forensiques)
• Informer le BKA et le BSI (respecter les obligations de déclaration au titre de NIS2)
• Faire appel à un prestataire professionnel de réponse aux incidents
• Ne pas communiquer soi-même avec les attaquants

Conclusion : la décision se prend avant l’attaque

La question de savoir si une entreprise doit payer lors d’une attaque ransomware ne peut pas trouver de réponse en cellule de crise. Elle se décide des mois auparavant : par la qualité des sauvegardes, l’existence d’un plan de réponse aux incidents documenté et testé, et par la réponse à la question de savoir si quelqu’un dans l’entreprise sait quoi faire en cas de crise.

Les chiffres sont sans ambiguité : la disposition à payer recule, les coûts globaux augmentent, et les entreprises préparées s’en sortent nettement mieux. Le CyberRisiko-Check du BSI est un bon point d’entrée. Un exercice de simulation annuel sur un scénario ransomware coûte une journée de travail et peut économiser des millions en cas de crise. Ceux qui ont fait leurs devoirs n’auront jamais à envisager sérieusement de payer. Ceux qui ne les ont pas faits paieront dans tous les cas un prix élevé, avec ou sans rançon.

Questions fréquentes

Les entreprises doivent-elles payer en cas de ransomware ?

Le BSI, le BKA et les autorités répressives de l’UE déconseillent explicitement le paiement. Les données montrent que les entreprises ayant payé ne récupèrent en moyenne que 60 % de leurs données et présentent un risque accru d’attaques ultérieures. Dans des cas extrêmes exceptionnels, lorsque les sauvegardes sont inutilisables et que l’interruption d’activité menace l’existence de l’entreprise, le paiement via un prestataire professionnel de négociation peut être envisagé.

Quel est le montant moyen d’une demande de rançon ?

La rançon moyenne versée s’élevait au quatrième trimestre 2025 à environ 592 000 dollars américains, avec une médiane de 325 000 dollars américains (Coveware). Les demandes varient fortement selon la taille de l’entreprise et le secteur d’activité. Des négociateurs professionnels peuvent réduire la demande en moyenne de 47 %.

Combien de temps dure la restauration sans paiement ?

La restauration à partir de sauvegardes dure selon Sophos en médiane 14 à 30 jours, selon la complexité de l’environnement informatique et la qualité des sauvegardes. Durant cette période, des processus d’urgence assurent la continuité des activités. Les entreprises dotées de stratégies de sauvegarde testées et d’un plan de réponse aux incidents documenté réduisent considérablement ce délai.

Quel est le coût total d’une attaque ransomware ?

Selon l’IBM Cost of a Data Breach Report 2025, le coût total moyen d’un incident ransomware s’élève à 5,13 millions de dollars américains. Ce montant comprend l’investigation forensique, le conseil juridique, la gestion de crise, les notifications RGPD, la perte de productivité et la hausse des primes d’assurance. Ces coûts sont engagés qu’une rançon ait été versée ou non.

Le paiement d’une rançon est-il illégal ?

Dans l’UE, le paiement d’une rançon ransomware n’est pas fondamentalement illégal. Il peut toutefois contrevenir au droit des sanctions si les destinataires figurent sur des listes de sanctions de l’UE ou des Etats-Unis. Les entreprises doivent faire procéder à une vérification au regard du droit des sanctions avant tout paiement. Le BSI et les autorités répressives déconseillent les paiements pour des raisons de politique criminelle, car ils financent le modèle économique des attaquants.

Source image : Pexels / Miguel A. Padrinan (px:3520692)

À propos de l'auteur: Alec Chizhik

Plus d'articles de Alec Chizhik