StoïkBlogCyberattaque

Attaque par ransomware : faut-il payer la rançon ?

Kévin Picciau
Dernière mise à jour :

Il est l’arme de choc d’une des cyberattaques les plus en vogue à l’échelle mondiale : en 2016 déjà, le ransomware faisait trembler une PME toutes les 40 secondes, quelque part sur le globe (source 1). Depuis, les attaques de ce type se sont multipliées de manière exponentielle et menacent de plus en plus l’activité – pour ne pas dire la survie – des entreprises. Pour minimiser l’impact d’un blocage par rançongiciel, les victimes sont souvent tentées de payer : réagir vite pour souffrir moins, telle est la stratégie adoptée. Pourtant, payer est une option dangereuse et contre-productive, aussi bien pour l’entreprise qui fait face aux rançonneurs que pour toutes les futures victimes potentielles du fléau « ransomware ».

payer la rançon ransomware

Passer à la caisse pour limiter le risque de casse : un pari rarement gagnant

Infection, réaction : c’est selon ce principe que de nombreuses entreprises abordent les épisodes malheureux d’attaque par rançongiciel. La logique en est simple : on préfère payer et « se libérer » sans délai plutôt que de voir les affaires de l’entreprise mises à l’arrêt ou perturbées sur un temps indéfini. C’est un peu l’idée du « moindre mal ». Malheureusement pour elles et pour les preneurs de décision, cette tactique ne s’avère pas toujours payante. Elle présente de nombreux pièges et, souvent, ne fait qu’étaler le risque sur le long terme.

La position de l’ANSSI : une ferme opposition

L’Agence nationale de la sécurité des systèmes d’information, référence incontournable en matière de cybersécurité, est catégorique : les entreprises ne doivent pas jouer le jeu des cybercriminels en payant les sommes demandées pour la levée d’un ransomware. Suite à une explosion du nombre d’attaques par rançongiciel au printemps 2020, en pleine période de confinement Covid, l’ANSSI a publié, conjointement avec le ministère de la Justice, son guide des bonnes pratiques (source 2) en cas d’attaque par ransomware.

Point par point, l’Agence spécialiste du risque cyber recommande formellement :

  • de rechercher l’assistance technique d’experts ;
  • de communiquer au maximum sur l’attaque et les futurs risques à avenir au sein de l’entreprise ;
  • de restaurer les systèmes touchés depuis des sources saines ;
  • de déposer plainte
  • et, surtout, de ne pas payer la rançon demandée.
2020, année de l’explosion du ransomware
Entre les mois de janvier et septembre 2020, l’ANSSI a traité pas moins de 104 attaques (source 3) par rançongiciels visant des entreprises ou des collectivités. Au total, le nombre de ces cyberattaques aura augmenté de 255 % (source 4) sur la seule année 2020.

Payer la rançon : une fausse solution et le début du cercle vicieux

To pay or not to pay, telle est la question. Quels sont les arguments de l’ANSSI – rejointe dans son analyse par des experts du secteur privé, à l’image de Stoïk – pour rejeter l’idée du paiement de la rançon ? Le constat est simple :

  1. L’entreprise qui décide de répondre positivement à la demande des hackers n’a aucune garantie que ces derniers livreront effectivement la clé de déchiffrage ou le mot de passe sensés débloquer la situation. Dans certains cas, un mot de passe ou une clé est transmise… mais ne fonctionne pas ! La promesse de mettre fin à l’infection reste une simple promesse.
  2. En payant la rançon, les entreprises victimes financent directement les activités des cybercriminels. Les moyens financiers récoltés permettent de recruter de nouveaux hackers et d’intensifier la mise au point de nouveaux logiciels d’attaque plus performants. Plus les entreprises payent, moins la probabilité de voir le jeu du ransomware s’essouffler est grande !

Aucune garantie de retrouver ses données

Selon une étude publiée en 2021 (source 5), seules 51 % des entreprises s’étant acquittées de la rançon suite à une attaque ont pu recouvrer l’intégralité de leurs données. 3 % ont été dans l’impossibilité totale de récupérer leurs données et 46 % ont retrouvé des données en partie altérées.

Plus préoccupant encore, 80 % des entreprises « coopérantes » ont subi une nouvelle attaque par très peu de temps après le paiement. Et, dans 46 % des cas, le ransomware était exactement le même !

attaque par ransomware

Pas de rançon sans plainte : quand la loi pose un cadre

Face à l’intensification du phénomène et à une cybercriminalité toujours plus puissante, les pouvoirs publics se sont emparé de la question.

De l’idée d’interdire le paiement de la rançon...

En octobre 2021, la député La République en Marche Valéria Faure-Muntian présentait devant l’Assemblée Nationale une proposition de loi radicale : interdire aux assureurs « de garantir, couvrir ou d’indemniser la rançon » (source 7).

À l’origine de cette initiative, un constat simple de la présidente du groupe d’études Assurances de l’Assemblée nationale : la majorité des assureurs cyber proposent dans leurs forfaits le paiement de la rançon en lieu et place des entreprises. Pour ces dernières, cette solution est loin d’être idéale : elle se traduit par des tarifs d’assurance élevés, aucune garantie de recouvrir l’intégralité des données attaquées et, toujours et encore, un encouragement des pratiques de cybercriminalité.

Qui paye ?
En règle générale, les entreprises disposées à payer la rançon n’ont pas effectué de sauvegarde de leurs données et/ou ne sont pas assurées. Pour sortir de l’impasse, passer à la caisse apparaît comme la seule solution possible.

… à un conditionnement strict du paiement

Au début de l’année 2022, la loi d'orientation et de programmation du ministère de l'Intérieur – dite LOPMI – est venue clarifier le cadre, suite à près d’un an d’échanges animés entre les partisans du paiement de la rançon et ses détracteurs. L’idée d’une interdiction pure et simple du paiement des rançons a été écartée. Le directeur de l’ANSSI lui-même, malgré son combat contre les « intermédiaires » – comprendre les assureurs « payeurs de rançons », a reconnu que la possibilité du paiement devait continuer à exister dans certains cas (source 6).

Le texte de loi pose le principe d’un conditionnement : est autorisé le paiement de la rançon si et seulement si l’entreprise porte plainte dans les 48 heures suivant le versement. Adopté en Conseil des ministres, le texte devrait être soumis sous peu au vote du Parlement et pourrait, dans l’intervalle, continuer à alimenter les débat.

Se protéger pour ne pas payer
Mettez en place des sauvegardes quotidiennes de vos données et assurez vous contre le risque cyber pour ne pas payer de rançon en cas d'attaque.
Souscrire Stoïk

Foire aux questions

Qu’est-ce qu’une attaque de type ransomware ?

L’attaque par ransomware ou rançongiciel conduit à perturber le fonctionnement d’une entreprise en bloquant l’accès à ses outils informatiques ou en prenant la main sur ses données. L’attaque est généralement réalisée à travers l’envoi d’un simple e-mail contenant une pièce jointe infectée ou un lien vers un site internet frauduleux qui incite l'utilisateur à y communiquer des informations confidentielles. Après avoir obtenu les accès au système informatique, les cybercriminels sont en mesure de récupérer les droits administrateur. Très vite, c’est l’ensemble du système informatique qui est bloqué. Les criminels peuvent identifier les données sensibles pour les bloquer et les chiffrer.

Un message de demande de rançon tourne en boucle sur tous les appareils infectés. Une somme d’argent est demandée en échange d’un mot de passe ou d’une clé de déchiffrage pour un supposé retour à la normale.

Quel est la part des attaques par rançongiciel en France ?

En 2021, à l’échelle mondiale, la France a été le 3e pays le plus touché par des attaques par ransomware, juste après les États-Unis et le Royaume-Uni. La mise en pratique du télétravail, dans le contexte de Covid-19, a largement contribué à cette évolution : selon les données de l’ANSSI (l’Agence nationale de la sécurité des systèmes d'information), les attaques par ransomware ont augmenté de 255 % sur la seule année 2020, année 1 de la pandémie.

Sources :

  1. https://www.lemondeinformatique.fr/actualites/lire-ransomware-une-attaque-toutes-les-40-secondes-contre-les-pme-66769.html
  2. https://www.ssi.gouv.fr/actualite/rancongiciels-face-a-lampleur-de-la-menace-lanssi-et-le-ministere-de-la-justice-publient-un-guide-pour-sensibiliser-les-entreprises-et-les-collectivites/
  3. https://www.ssi.gouv.fr/uploads/2020/09/anssi-communique_presse-guide_rancongiciels.pdf
  4. https://siecledigital.fr/2021/02/10/anssi-255-ransomware-2020/
  5. https://www.01net.com/actualites/ransomware-pourquoi-il-ne-faut-pas-payer-la-rancon-en-cas-d-attaque-2044778.html
  6. https://www.zdnet.fr/actualites/loi-lopmi-pour-payer-la-rancon-il-faudra-deposer-plainte-39939113.htm
  7. https://www.leparisien.fr/high-tech/rancongiciels-un-rapport-parlementaire-propose-dinterdire-aux-assurances-de-payer-les-rancons-18-10-2021-II6B5CZOYJFMLJN76S4PNUEREA.php