Fin octobre 2025, Coveware a publié une étude qui fait date : seulement 23 % des victimes de ransomware ont versé une rançon au troisième trimestre. Ce recul spectaculaire — la plus forte baisse jamais enregistrée — redéfinit l’équilibre des puissances dans le cyberespace. Le ransomware, symbole de la cybercriminalité depuis une décennie devient un indicateur de maturité stratégique.
Ransomware : Un affaiblissement du modèle d’extorsion numérique
D’après Coveware, le taux de paiement des rançons est tombé à 23 % au T3 2025, contre plus de 40 % un an auparavant. Le montant moyen des paiements chute de 66 % pour atteindre 376 941 $, et la médiane recule de 65 % à 140 000 $. Dans les cas d’exfiltration sans chiffrement, seuls 19 % des attaqués ont accepté de payer. Ces données confirment une érosion rapide du modèle économique du ransomware. Ce retournement découle d’une combinaison d’efforts concertés : durcissement des politiques publiques, montée en compétence des cellules de réponse et amélioration des capacités de reprise après incident.
Pour la sphère de la cyberdéfense, cette mutation représente un succès tactique : chaque rançon évitée retire aux groupes criminels une part de leurs ressources, donc de leur capacité offensive. La baisse du rendement des campagnes d’extorsion réduit la marge de manœuvre financière de nombreux collectifs hostiles, dont certains entretiennent des liens plus ou moins directs avec des États.
Vers un nouvel équilibre dans la lutte informationnelle et technique
L’étude de Coveware révèle une mutation structurelle : la majorité des attaques s’appuient désormais sur l’exfiltration de données plutôt que sur le chiffrement pur. En d’autres termes, la guerre ne se joue plus seulement dans les disques durs, mais dans la sphère médiatique et diplomatique. Le ransomware devient un instrument de pression informationnelle, un vecteur de déstabilisation plus qu’un simple outil d’extorsion.
Cette évolution rejoint les préoccupations des armées et des agences de renseignement. Là où les attaques visaient autrefois le profit immédiat, elles s’inscrivent aujourd’hui dans des logiques de coercition et d’influence. Le rapport note également que les groupes Akira (34 %), Qilin (10 %), Lone Wolf (6 %) et Lynx (5 %) dominent la scène actuelle, mais avec des revenus en forte baisse. L’affaiblissement temporaire du front cybercriminel est susceptible de redistribuer les alliances et de pousser certains acteurs vers des activités d’espionnage ou de sabotage commanditées.
Conséquences stratégiques pour la cybersécurité nationale
Pour les institutions de défense, la baisse des paiements liés aux ransomwares représente une fenêtre d’opportunité. D’un côté, les cybercriminels voient leurs marges se contracter ; de l’autre, les nations disposent d’un levier pour renforcer la dissuasion active. Chaque refus de paiement assèche les réseaux d’affiliation, limite les réinvestissements dans les infrastructures de piratage et ralentit la rotation des groupes affiliés.
Cependant, ce succès apparent ne doit pas masquer un risque latent. Privés de revenus, certains collectifs pourraient se tourner vers des cibles stratégiques — infrastructures critiques, acteurs de la défense ou partenaires industriels sensibles — pour compenser leurs pertes par des actions à fort impact. Dans cette perspective, le rapport Coveware agit comme un signal d’alerte opérationnel : il faut capitaliser sur cette période de repli pour renforcer les défenses.
Ainsi, l’effondrement des paiements ne signe pas la fin de la menace ransomware, mais bien l’entrée dans une nouvelle phase du conflit cyber : une guerre d’usure où la résilience devient un instrument stratégique.
