Selon une étude de l’asureur Coalition, 86 % des entreprises victimes de rançongiciels ont refusé de payer — un record — ce qui traduit une amélioration mesurable de la résilience des organisations. Mais les données de Coalition, issues des sinistres déclarés par plus de 100 000 assurés, montrent que la compromission de la messagerie professionnelle et la fraude au transfert de fonds représentent toujours 58 % des incidents enregistrés.
L’étude menées aux États-Unis, au Canada, au Royaume-Uni, en Australie et en Allemagne , montre que les demandes de rançon ont progressé de 47 % en 2025 par rapport à l'année précédente, selon le rapport annuel sur les sinistres cyber publié par Coalition, assureur spécialisé dans la couverture estampillée « cyber active » : un modèle d'assurance cyber qui, en plus de l’indemnisation après sinistre, intègre des services de prévention et de surveillance en amont de tout incident.
Ce rapport constitue l'un des baromètres les plus granulaires disponibles sur l'économie réelle de la cybercriminalité, car il s'appuie sur des données de sinistres effectivement déclarés à un assureur plutôt que sur des enquêtes déclaratives. Il permet d'observer des évolutions que les études de perception ne captent pas : la dissociation entre la fréquence des attaques — en hausse de 3 % sur un an — et leur sévérité moyenne — en baisse de 19 %, à 116 000 USD de perte moyenne. Ceci indique que les organisations parviennent mieux à contenir les dommages après intrusion, même si la surface d'exposition continue de s'étendre.
Le refus de payer fragilise le modèle économique du rançongiciel
Avec une perte moyenne de 269 000 USD par sinistre, le rançongiciel demeure le type d'incident le plus onéreux en 2025. Les acteurs malveillants ont adopté une stratégie d'escalade tarifaire, poussant les demandes vers des montants à sept chiffres pour maximiser la pression sur les victimes. Cette stratégie se heurte néanmoins à une résistance croissante, le taux de refus de payer a atteint 86 %, un niveau record qui modifie structurellement la rentabilité des campagnes de double extorsion pour leurs opérateurs. Rob Jones, Global Head of Claims chez Coalition, y voit un tournant dans l'économie des rançongiciels. Il affirme que les assureurs spécialisés aident les entreprises à limiter leurs pertes grâce à des plans de réponse aux incidents et des sauvegardes viables.
La double extorsion — combinant chiffrement des systèmes et exfiltration de données — a représenté 70 % des sinistres liés aux rançongiciels en 2025. Ce vecteur s'est révélé au moins deux fois plus coûteux que les attaques par chiffrement seul, en raison des obligations de notification, des frais juridiques et des dommages réputationnels associés à la fuite de données. Pour les grandes entreprises dont le chiffre d'affaires dépasse 100 millions USD, la sévérité des sinistres a néanmoins reculé de 7 % sur un an, à 268 000 USD de perte moyenne — un mouvement cohérent avec des investissements de détection et de confinement plus matures dans ce segment.
La compromission de messagerie, catalyseur de la fraude financière
Les données Coalition invalident la hiérarchie des menaces telle qu'elle est souvent perçue par les équipes de sécurité. En volume de sinistres, la compromission de messagerie professionnelle (BEC) et la fraude au transfert de fonds (FTF) dominent largement, avec 58 % des incidents enregistrés. La fréquence des sinistres BEC a augmenté de 15 % en 2025, tandis que leur sévérité a diminué de 28 %, à 27 000 USD de perte moyenne — un profil qui reflète une meilleure détection des tentatives, mais un volume d'attaques en expansion continue. La FTF constitue le deuxième type d'incident le plus fréquent, avec 27 % des sinistres, une fréquence en baisse de 18 % et une sévérité moyenne de 141 000 USD.
La relation entre ces deux vecteurs est rapportée avec précision par le rapport : 52 % des sinistres FTF en 2025 étaient consécutifs à une BEC préalable. La compromission de messagerie fonctionne donc comme un point d'entrée qui amplifie ensuite le préjudice financier via la fraude aux virements. Rob Jones a souligné que la BEC et la FTF reposent sur l'ingénierie sociale ciblant l'individu, et que ces attaques peuvent s'avérer tout aussi préjudiciables pour les entreprises que les rançongiciels, sans bénéficier du même niveau d'attention de la part des responsables de la sécurité. La donnée clé pour les DSI et RSSI : la FTF n'est pas conditionnée à une compromission de messagerie préalable, ce qui implique des vecteurs alternatifs — usurpation d'identité, manipulation téléphonique, ingénierie sociale directe — qu'une protection centrée sur l'email ne couvre pas.
L'exposition croissante des grandes entreprises
Les organisations dont le chiffre d'affaires dépasse 100 millions USD font face à une fréquence de sinistres cinq fois plus élevée que les petites structures. Leur surface d'attaque étendue, la multiplication des fournisseurs et sous-traitants connectés, et la valeur des données qu'elles détiennent en font des cibles prioritaires pour les groupes de rançongiciels les plus structurés. Le rapport note néanmoins que ces mêmes organisations disposent de davantage de ressources pour contenir les incidents, ce qui explique la baisse tendancielle de la sévérité dans ce segment depuis 2024.
Coalition met en avant un indicateur interne pour mesurer l'effet de son modèle d'assurance active sur les résultats des sinistres : en 2025, 64 % des sinistres clôturés ont été résolus sans aucun reste à charge pour l'assuré. Ce chiffre intègre la valeur des services de réponse aux incidents, de la détection managée et des sauvegardes accessibles que le modèle d'assurance active est censé pré-positionner avant la survenue d'un sinistre. Pour les décideurs IT évaluant leur stratégie de couverture cyber, ce taux de résolution sans reste à charge constitue un indicateur de maturité à mettre en regard du coût de la prime et des niveaux de franchise, dans un contexte où la fréquence globale des incidents continue de progresser malgré la baisse de leur sévérité unitaire.
>Les conclusions du rapport Coalition méritent d'être lues avec un regard critique sur leur nature. En tant qu'assureur, Coalition a un intérêt évident à mettre en avant la montée des menaces — hausse des demandes de rançon, fréquence accrue des BEC — pour justifier la valeur de sa couverture, et à simultanément valoriser l'efficacité de son modèle d'assurance active pour fidéliser ses assurés et en attirer de nouveaux.
Ce qui distingue néanmoins ce rapport de la grande majorité des études sectorielles sur la cybersécurité, c'est précisément son substrat factuel. Les chiffres ne proviennent pas d'enquêtes déclaratives auprès de RSSI interrogés sur leur perception des menaces, mais de sinistres effectivement déclarés, instruits et indemnisés auprès de plus de 100 000 assurés sur cinq marchés. Une perte moyenne de 269 000 USD par sinistre rançongiciel ou un taux de résolution sans reste à charge de 64 % sont des données de gestion, pas des estimations. C'est cette ancrage dans l'économie réelle des incidents qui confère au rapport Coalition une valeur transposable.
