Pourquoi les demandes de rançon augmentent alors que moins d’entreprises paient

Les chiffres ne concordent pas jusqu’à ce qu’ils concordent

Le rapport 2026 de Coalition sur les réclamations cybernétiques s’appuie sur des données réelles provenant de plus de 100 000 titulaires de police. Il indique qu’au sein de cette communauté, les demandes de rançon initiales ont atteint en moyenne plus de 1 million de dollars en 2025, tandis que 86 % des entreprises ciblées ont refusé de payer. C’est une excellente nouvelle. De meilleures sauvegardes, des plans d’intervention en cas d’incident éprouvés et des négociateurs chevronnés ont donné aux organisations un pouvoir de négociation qu’elles n’avaient pas il y a cinq ans.

Cependant, les incidents liés aux ransomwares demeurent le type de réclamation cybernétique le plus coûteux pour les assurés de Coalition, avec un coût moyen de 302 000 $ par incident pour la variante d’attaque la plus répandue. Refuser de payer ne veut pas dire s’en tirer sans conséquences. Cela signifie simplement que les coûts apparaissent ailleurs.

Le chiffrement n’est plus la seule menace

L’ancienne stratégie des ransomwares était simple. Les attaquants verrouillent vos fichiers, vous restaurez à partir d’une sauvegarde, vous refusez de payer, puis vous passez à autre chose. Cela se produit encore. Mais ce n’est plus l’élément central.

En 2025, 70 % des réclamations liées aux ransomwares dans les données de Coalition impliquaient à la fois le chiffrement et le vol de données. L’industrie appelle cela la double extorsion. Les attaquants ne se contentent pas de verrouiller vos données : ils les volent d’abord, puis menacent de les divulguer.

Image publiée avec l’aimable autorisation du Coalition 2026 Cyber Claims Report : https://www.coalitioninc.com/claims-report/2026

Allianz Commercial a constaté une évolution similaire dans ses données de réclamations. Au cours du premier semestre de 2025, 40 % de la valeur des réclamations cybernétiques majeures impliquaient une exfiltration de données, comparativement à 25 % pour l’ensemble de 2024. Ces incidents ont coûté plus du double des cas sans vol de données.

Cet écart s’explique lorsqu’on réfléchit à ce que cela implique réellement. Des données chiffrées représentent un enjeu de récupération. Des données volées deviennent un enjeu juridique, réglementaire et réputationnel — pouvant entraîner des avis d’atteinte à la protection des données, des enquêtes des autorités réglementaires et des poursuites qui se prolongent bien après le rétablissement de vos systèmes.

Les sauvegardes aident. Elles sont aussi une cible.

De bonnes sauvegardes demeurent la pierre angulaire. Si vos systèmes peuvent être restaurés correctement, vous éliminez le levier le plus immédiat des attaquants, ce qui explique pourquoi le taux de non-paiement atteint un niveau record.

Le piège, c’est que les acteurs sophistiqués du ransomware le savent. Un scénario courant est qu’ils ne se contentent pas de chiffrer les systèmes de production puis de disparaître. Lorsque possible, ils passent du temps dans l’environnement, cartographiant le fonctionnement des sauvegardes et leur emplacement, et analysant quels ensembles de données critiques sont essentiels au fonctionnement de l’organisation. Ensuite, avant de déclencher le chiffrement, ils ciblent les sauvegardes en les chiffrant ou en les supprimant afin d’éliminer toute possibilité de récupération rapide. C’est à ce moment qu’un incident de ransomware devient une crise de continuité des activités et un enjeu de sécurité.

Et même si les sauvegardes demeurent intactes, elles ne peuvent pas annuler l’exfiltration. Une fois que les données ont quitté l’environnement, elles sont hors de contrôle. L’interruption opérationnelle prend fin lorsque les systèmes sont restaurés. L’exposition, elle, persiste.

Lorsque les solutions standard ne suffisent plus

Selon l’expérience de DriveSavers Data Recovery, acquise au cours de milliers d’interventions, la récupération de données en entreprise survient généralement dans trois situations qui ne reçoivent pas suffisamment d’attention dans la plupart des discussions sur la planification face aux ransomwares.

Sauvegardes compromises

Le cas le plus courant concerne des sauvegardes compromises. Lorsque des acteurs malveillants ont chiffré ou supprimé les systèmes de sauvegarde avant l’attaque principale, il n’y a souvent aucune possibilité de restauration propre. La récupération de données directement à partir du data storage chiffré devient alors une option importante à considérer.

Décalage des sauvegardes

La deuxième situation est le décalage des sauvegardes. Même intactes et vérifiées, les sauvegardes peuvent ne pas être suffisamment à jour. Les données créées ou modifiées depuis le dernier cycle de sauvegarde sont alors perdues, et selon leur importance, une solution « presque suffisante » peut ne pas être adéquate.

Paiement de la rançon ≠ Récupération complète

La troisième situation, et probablement la moins abordée : le paiement d’une rançon ne garantit pas toujours une récupération complète. Les outils de déchiffrement sont imparfaits. Ils fonctionnent pour certains types de fichiers, mais pas pour d’autres, et leur efficacité peut varier d’un fichier à l’autre. Des données peuvent également être corrompues. Cette situation est plus fréquente que ce que la plupart des organisations anticipent et les amène à devoir trouver une autre solution pour récupérer les données qu’elles ont pourtant payées pour restaurer.

DriveSavers accompagne les organisations dans chacune de ces trois situations, en récupérant des données critiques inaccessibles lorsque les sauvegardes sont absentes, incomplètes ou lorsque le déchiffrement n’a pas permis de restaurer entièrement les données.

Ce qu’un véritable plan de reprise prend en compte

Bien que 86 % des entreprises soient désormais en mesure de refuser le paiement d’une rançon, la question essentielle demeure : votre organisation est-elle réellement prête à y résister, ou espérez-vous simplement que tout se passera bien ?

Au minimum, cela implique trois éléments :

Des sauvegardes testées et conservées hors site, isolées de l’environnement de production et vérifiées régulièrement, et non simplement présumées fonctionnelles.

Un plan d’intervention en cas d’incident qui tient compte de la double extorsion, et pas seulement du chiffrement, avec des protocoles juridiques et de communication prêts pour les scénarios d’exposition des données.

Une vision claire de vos options de récupération de données lorsque les sauvegardes sont partielles, désuètes ou inexistantes.

Les tactiques des ransomwares continueront d’évoluer. La fenêtre entre l’accès initial et l’exfiltration des données se raccourcit. Les organisations qui sortent indemnes de ces incidents sont celles qui ont traité la récupération comme une capacité à développer à l’avance, et non comme une solution improvisée sous pression.

Si vous réfléchissez à votre plan d’intervention en cas de ransomware et souhaitez comprendre comment les services professionnels de récupération de données peuvent s’y intégrer, communiquez avec DriveSavers au +1 (437) 266-8341.

Sources

Rapport 2026 sur les réclamations cyber de Coalition : https://www.coalitioninc.com/claims-report/2026
Tendances des cyberrisques 2025 d’Allianz Commercial : https://commercial.allianz.com/news-and-insights/news/cyber-risk-trends-2025.html

Andy Maus

Andy Maus est responsable des services de cyber-récupération chez DriveSavers. Il dirige les initiatives qui aident les organisations à récupérer leurs données critiques suite à des cyber-incidents, des attaques de ransomware et d'autres atteintes à la sécurité. Il a rejoint DriveSavers en 2023 après plus de deux ans chez Arete Incident Response, où il a introduit les services de récupération de données dans le portefeuille de restauration de l'entreprise, élargi l'équipe des opérations techniques de 10 à plus de 70 spécialistes, et construit des alliances stratégiques avec SentinelOne, Dell, et Presidio. Auparavant, chez Ontrack Data Recovery, il a supervisé les ventes mondiales, prenant en charge des restaurations de données complexes pour des clients répartis dans 22 pays. Avec plus de trente ans d'expérience dans l'industrie technologique, dont des postes de direction chez Dell, Mitel et Level 3 Communications, Andy apporte une expérience approfondie en matière de réponse aux cyberincidents, de méthodologies de récupération des données et d'opérations techniques à grande échelle.