Mercredi 11 mars 2026 – Lors de négociations liées à des attaques de ransomware, Arctic Wolf est parvenu à réduire les paiements de rançon de 67 % en moyenne. En incluant les organisations qui n’ont finalement pas payé de rançon, les économies totales atteignent 94 % des montants initialement exigés. C’est ce qui ressort de l’Arctic Wolf 2026 Threat Report.

Bien qu’Arctic Wolf recommande à ses clients de ne pas payer de rançon aux cybercriminels, la décision finale revient toujours à l’organisation victime. Dans les situations où les victimes se sentent contraintes de payer, un accompagnement professionnel peut faire une différence significative pour réduire le montant final, comparé aux organisations qui tentent de gérer seules un incident de ransomware.

Il n’existe pas de statistiques officielles à l’échelle de l’industrie concernant les paiements liés au ransomware, car de nombreuses victimes ne divulguent pas si elles ont payé — ni, le cas échéant, le montant payé. Des recherches indépendantes indiquent toutefois qu’environ 30 % des victimes de ransomware paient la rançon complète exigée par les attaquants.

Une étude britannique a par ailleurs montré que 18 % à 20 % des victimes paient en moyenne 103 % du montant initial de la rançon. Ce chiffre inclut non seulement la rançon elle-même, mais aussi les coûts supplémentaires liés à l’achat et au transfert de cryptomonnaies.
 

La négociation est une discipline spécialisée

Les négociations dans les cas de ransomware ne peuvent pas être improvisées. Elles nécessitent des informations précises sur le groupe d’attaquants, son historique, sa propension à réduire ses exigences ainsi que son statut juridique.

Les négociateurs d’Arctic Wolf commencent donc par identifier le groupe responsable de l’attaque.

Si des liens sont établis avec des régimes sous sanctions ou des organisations terroristes, les victimes sont informées que tout paiement est interdit par la réglementation internationale. Dans ces situations, les négociations sont immédiatement interrompues et l’attention se porte entièrement sur les opérations de récupération. Lorsque la négociation est légalement possible, les spécialistes évaluent si des données ont effectivement été exfiltrées et, le cas échéant, si ces données ont une réelle valeur.

Dans la grande majorité des attaques de ransomware (98 % des cas), les cybercriminels volent des données. Cela signifie que les victimes ne paient pas nécessairement pour récupérer l’accès à leurs données, mais plutôt pour éviter leur publication.

Lorsque les preuves de vol de données sont faibles ou que les données ont peu de valeur, le paiement est totalement déconseillé.

Si la valeur des données est confirmée, la stratégie de négociation devient déterminante.

Certains groupes de ransomware refusent toute réduction. D’autres acceptent seulement de petites diminutions de quelques pourcents. D’autres encore peuvent se satisfaire de moins de 10 % du montant initial demandé. Identifier précisément le groupe à l’origine de l’attaque et comprendre ses méthodes de négociation est donc essentiel pour influencer l’issue.

Les organisations victimes qui envisagent de payer doivent également savoir que les cybercriminels ne sont pas toujours fiables. Arctic Wolf a traité plusieurs incidents où, après avoir repris le contrôle des systèmes des attaquants, les analystes ont découvert des données que les victimes pensaient déjà supprimées. Même lorsque les données ne sont pas immédiatement divulguées, elles peuvent être conservées par les attaquants, ce qui augmente le risque qu’ils reviennent plus tard exiger un nouveau paiement.

“Violent crime-as-a-Service”

Lors de négociations avec des cybercriminels, il est vital que l’identité des négociateurs reste anonyme. Certains groupes cybercriminels, comme “The Com”, collaborent avec le crime organisé local afin d’exercer une pression physique sur les employés des organisations victimes et augmenter les chances de paiement. Les chercheurs qualifient ce phénomène de “Violent crime-as-a-Service”.

“Chez Arctic Wolf, nous rejoignons les recommandations des législateurs et des autorités : si possible, les rançons ne devraient pas être payées. Toutefois, la décision finale appartient toujours à l’organisation victime”, déclare Christopher Fielder, Field CTO chez Arctic Wolf. “Contrairement à de nombreuses sociétés d’incident response qui se concentrent principalement sur la gestion technique et la remédiation, Arctic Wolf mène les négociations entièrement en interne. Nos négociateurs sont intégrés dans l’organisation de la victime et communiquent avec les attaquants comme s’ils en étaient des représentants internes. Cela nous permet d’accompagner au mieux nos clients et de les aider à réduire l’impact d’une attaque de ransomware.”

Le rapport complet Arctic Wolf Threat Report 2026 est disponible ici.
 

À propos d’Arctic Wolf

Arctic Wolf est un leader mondial des security operations et aide ses clients à gérer leurs cyberrisques grâce à une plateforme cloud-native. L’Arctic Wolf Security Operations Cloud traite et analyse chaque semaine plus de 7 billions d’événements de sécurité, permettant une cyberdéfense à grande échelle grâce à des capacités avancées. Les organisations de toutes tailles peuvent ainsi renforcer leur posture de sécurité, améliorer leur résilience et mieux se préparer aux cybermenaces. Grâce à des capacités automatisées de protection, de réponse et de remédiation, Arctic Wolf permet d’optimiser les opérations de sécurité en toute simplicité.

Plus d’informations : www.arcticwolf.com

Contact presse

Stark Narrative – Jan Poté

E-mail : jan.pote@telenet.be

Tél. : 0475 92 55 82

© 2026 Arctic Wolf Networks, Inc. Tous droits réservés. Arctic Wolf, Arctic Wolf Platform, Arctic Wolf Managed Detection and Response, Arctic Wolf Managed Risk, Arctic Wolf Managed Cloud Monitoring, Arctic Wolf Managed Security Awareness et Arctic Wolf Concierge Security Team sont des marques commerciales ou des marques déposées de Arctic Wolf Networks, Inc. ou de Arctic Wolf Networks Canada, Inc., ainsi que de leurs filiales au Canada, aux États-Unis et/ou dans d’autres pays.