.

Faut-il payer la rançon en cas de ransomware ?

Illustration crise cyber montrant un écran de verrouillage avec cadenas, code binaire et symboles de menaces numériques
Cyber · décisionnel

Non, dans 95 % des cas. Recommandation officielle ANSSI et gouvernement français : ne pas payer. Le paiement aggrave la situation dans 80 % des cas par récidive, restauration partielle, financement du crime et risque juridique.

La réponse courte : non

L'ANSSI, le SGDSN, le gouvernement français et l'ENISA européenne sont alignés depuis 2018 sur la même recommandation : ne pas payer la rançon. Cette position est fondée sur des données quantifiées et un retour d'expérience accumulé sur des milliers d'attaques.

Pourtant, environ 30 % des organisations françaises victimes paient quand même, par panique, par pression interne, ou par mauvaise évaluation du rapport coût/bénéfice. Les six raisons développées ci-dessous expliquent pourquoi c'est statistiquement et stratégiquement une erreur.

6 raisons de ne pas payer

  • 1. La récidive : 80 % des organisations qui paient sont re-ciblées dans les 12 mois suivants. Vous êtes désormais sur une liste de "payeurs confirmés" qui circule entre groupes criminels.
  • 2. La restauration partielle : dans 35 % des cas, le décryptage fourni par l'attaquant échoue partiellement (corruption de fichiers, données illisibles). Payer ne garantit pas la récupération.
  • 3. Le financement du crime organisé : les ransomwares financent terrorisme, blanchiment, trafic d'armes et de drogues. Payer alimente directement ces filières.
  • 4. Le risque juridique : si les fonds atteignent une entité sanctionnée (OFAC américain, sanctions UE contre la Russie, etc.), votre organisation s'expose à des sanctions secondaires (amendes, exclusion de marchés US).
  • 5. La fuite de données reste publiée : dans 50 % des cas de double extorsion, les données sont publiées même après paiement. L'attaquant a peu d'incitation à tenir parole.
  • 6. L'effet de marché : chaque paiement renforce le modèle économique du ransomware. C'est ce qui en fait l'attaque cyber numéro 1 depuis 5 ans.

Cadre juridique français

Le paiement d'une rançon par une organisation privée est légal en France, mais encadré :

  • Sanctions internationales : si l'attaquant ou le destinataire des fonds est sanctionné par l'UE, l'ONU ou l'OFAC américain, le paiement devient illégal et expose à des sanctions pénales.
  • Loi LOPMI 2023 : depuis 2023, le paiement n'est plus indemnisé par les assurances cyber sauf si la victime a déposé plainte dans les 72 heures.
  • Lutte anti-blanchiment : tout paiement de plus de 10 000 € via crypto-monnaies doit faire l'objet d'une déclaration TRACFIN.
  • Organisations publiques : les collectivités, hôpitaux publics, opérateurs publics ne peuvent légalement pas payer, car les fonds publics ne peuvent financer une activité criminelle.

Les 3 cas où le paiement peut se discuter

Il existe des situations exceptionnelles où la question du paiement se pose. Dans tous les cas, la décision est prise en cellule de crise, jamais dans la panique des premières heures, et avec l'ANSSI et la police judiciaire dans la boucle.

  • Cas 1 · Atteinte à la vie humaine immédiate : établissement de santé sans plan de continuité dégradée fonctionnel, données vitales chiffrées sans backup, mortalité accrue documentée. Cas extrêmement rare en France où le Plan Blanc et les sauvegardes sont obligatoires (voir Plan Blanc vs Plan Bleu).
  • Cas 2 · Survie économique à court terme : organisation menacée de faillite immédiate, sans alternative technique de restauration, sans capacité de fonctionnement dégradée. Exige une démonstration documentée du caractère vital.
  • Cas 3 · Extorsion à la fuite de données critiques : données dont la publication causerait un préjudice irréversible (vies humaines, secret défense). Même dans ce cas, la fuite a souvent déjà eu lieu : les attaquants exfiltrent puis chantent.

Règle d'or : la décision de payer ne doit jamais être prise dans les 24 premières heures de l'attaque. La panique et la pression hiérarchique conduisent à des décisions irrationnelles. Différer permet d'évaluer les options de restauration et d'engager l'ANSSI.

Que faire à la place

Une cellule de crise cyber bien préparée active le protocole suivant :

  • H+0 à H+2 : isolement réseau, activation cellule, signalement ANSSI (cert-fr@ssi.gouv.fr) et police judiciaire (BL2C ou Pharos), première communication interne.
  • H+2 à H+24 : évaluation périmètre touché, identification des sauvegardes saines, premier point juridique et assurance, communication externe maîtrisée si nécessaire.
  • H+24 à H+72 : activation du PCA dégradé, restauration prioritaire des systèmes critiques depuis les sauvegardes, communication clients/partenaires.
  • J+3 à J+15 : restauration complète, analyse forensic, RETEX initial, mise à jour des dispositifs.

Pour le détail de la méthode, voir notre article réagir à un ransomware et notre page crise cyber ransomware.

Comment Twist accompagne sur ce sujet

Twist accompagne sur la préparation aux scénarios ransomware via les parcours entreprise :

  • Audit de robustesse : sauvegardes 3-2-1, plan de continuité dégradée, processus d'alerte ANSSI documenté.
  • Exercice tabletop ransomware : scénario joué en demi-journée avec la cellule réelle, dilemme paiement intégré au scénario, débriefing structuré.
  • Doctrine de décision : grille pré-validée par la direction sur les critères de décision (pas pour décider en crise mais pour cadrer la non-décision).

Questions connexes

Mon assurance cyber couvre-t-elle le paiement de la rançon ?

De plus en plus rarement. Depuis 2023, la plupart des contrats cyber excluent ou plafonnent fortement la couverture du paiement de rançon. La loi LOPMI conditionne l'indemnisation au dépôt de plainte dans les 72h. Les coûts couverts portent principalement sur la remédiation technique, la communication de crise, les frais juridiques et la perte d'exploitation.

Faut-il prévenir la CNIL en cas de ransomware ?

Oui, si des données personnelles sont compromises (chiffrement ou exfiltration). Notification CNIL sous 72h via le téléservice dédié, et information des personnes concernées si le risque est élevé. C'est une obligation distincte de la déclaration ANSSI au titre de NIS2.

Que dire en interne sans alimenter la panique ?

Communication directe et factuelle dans les 6h : ce qui s'est passé, ce qui est isolé, ce qui n'est pas affecté, ce qui est attendu des équipes (couper les outils, attendre les consignes), prochain point. Voir notre article annoncer la crise en interne.

Pour aller plus loin

Préparer votre cellule à un ransomware ?

30 minutes pour cadrer votre doctrine paiement, vos sauvegardes, votre plan de continuité dégradée. Gratuit et sans engagement.

Échanger avec un consultant →

Pour aller plus loin

Twist met à disposition le fruit de ses réflexions et recherches sur la culture du risque, des ressources documentaires et propose aussi des événements.

AASC association agréée sécurité civile : équipe paramédicale intervenant avec ambulance et brancard

C’est quoi une AASC (association agréée de sécurité civile) ?

Acteurs de la sécurité civile Une AASC est une association reconnue par l’État pour appuyer...

Logo du Beauvau de la sécurité civile avec inscription en bleu et orange

C’est quoi le Beauvau de la sécurité civile ?

Sécurité civile · Cadre national Le Beauvau de la sécurité civile est la grande consultation...

Logo Bitchat : symbole Bluetooth cyan sur carré magenta et noir, application de messagerie sécurisée

C’est quoi Bitchat

Outils de communication de crise Bitchat est une application de messagerie peer-to-peer en mesh Bluetooth,...

Votre message à bien été envoyé