Faut-il interdire le paiement des ransomwares ? Ce que le débat britannique change (ou pas) pour les organisations françaises

Plutôt que payer une rançon, mieux vaut protéger son "noyau vital", disposer de sauvegardes réellement restaurables et se préparer aux crises cyber.

Au Royaume‑Uni, le gouvernement prépare une interdiction du paiement des ransomwares dans le secteur public et pour les opérateurs d’infrastructures critiques. Il envisage aussi un nouveau régime de notification préalable : toute organisation qui souhaiterait payer une rançon devrait en informer l’État. L’objectif est clair : tarir le modèle économique du ransomware en rendant les cibles publiques moins attractives et en limitant les flux financiers vers les groupes criminels.

En France, ce scénario pose une question très concrète : sommes‑nous prêts à vivre dans un monde où payer une rançon devient, de fait, impossible ou intenable tant d’un point de vue juridique, réglementaire que public ?

En France, pas d’interdiction générale… mais une pression croissante

Contrairement au projet britannique, la France n’interdit pas aujourd’hui, de manière globale, le paiement des rançons. Pour autant, le sujet est loin d’être neutre ou simple. Les autorités françaises, au premier rang desquelles l’ANSSI, les forces de l’ordre (gendarmerie, police et services spécialisés) ainsi que les ministères concernés, tiennent un discours constant : elles déconseillent fermement de payer. Elles rappellent qu’aucun versement ne garantit réellement la possibilité de déchiffrer les données, mais qu’au contraire, le paiement augmente la probabilité d’être à nouveau ciblé, et qu’il contribue à alimenter un écosystème criminel, voire terroriste.

Le risque juridique, lui, n’a rien de théorique. Dans certains cas, le fait de s’acquitter d’une rançon peut exposer l’organisation à des infractions liées au financement du terrorisme ou au blanchiment d’argent, à des violations de régimes de sanctions internationales lorsque les groupes impliqués sont listés, ou encore à une mise en cause pour manquements graves si l’entreprise était notoirement insuffisamment protégée au regard de son exposition et de ses obligations.

Parallèlement, les secteurs dits critiques sont déjà soumis à une pression réglementaire élevée. Les opérateurs d’importance vitale (OIV) se voient imposer des exigences de cybersécurité strictes, récemment renforcées par la Loi de Programmation Militaire 2023–2030. La transposition de la directive NIS2 vient encore élargir et durcir ces obligations pour de nombreux acteurs : établissements de santé, opérateurs d’énergie et de transport, institutions financières, fournisseurs de services numériques ou encore collectivités territoriales.

Enfin, le marché de l’assurance cyber est en pleine recomposition. En France, le débat porte moins sur l’interdiction pure et simple de payer que sur la question de savoir s’il faut encore rembourser ces rançons et, le cas échéant, sous quelles conditions. Les assureurs exigent désormais un niveau de sécurité minimum, conditionnent de plus en plus leurs garanties au dépôt de plainte et à une transparence accrue vis‑à‑vis des autorités. Les polices d’assurance cyber deviennent ainsi plus restrictives, plus exigeantes et souvent plus coûteuses. Il devient de moins en moins réaliste de considérer l’assurance comme un simple filet de sécurité destiné, en dernier ressort, à financer le paiement de la rançon.

Pour les organisations françaises : la seule option est d’anticiper

Qu’un jour la France interdise ou non le paiement des rançons, le mouvement de fond est déjà clair : payer devient de plus en plus difficile à justifier, la tolérance des autorités comme des assureurs diminue, et la responsabilité des dirigeants se renforce. Dans ce contexte, la véritable question n’est plus de savoir si nous devrions avoir le droit de payer, mais plutôt si nous sommes capables de ne pas avoir besoin de payer.

Pour une PME industrielle en région, une grande banque parisienne, un CHU ou une métropole par exemple, cela impose de structurer l’action autour de trois grands axes.

Identifier et protéger son « noyau vital »

Le premier consiste à connaître et protéger son « noyau vital », en adoptant une logique de viabilité minimale. Cette approche part des besoins métiers plutôt que de la technologie. Elle oblige à répondre à une question simple : si nous étions attaqués demain, de quoi avons-nous absolument besoin pour continuer à fonctionner, même en mode dégradé ?

Pour une organisation française, cela revient à identifier les applications clés (ERP, CRM, dossiers médicaux partagés, outils de prescription, systèmes métiers, outils RH et paie), les données indispensables (facturation, chaînes logistiques, dossiers patients, données citoyen, secrets industriels), les processus critiques du quotidien (production, encaissement, prise en charge des patients, continuité du service public) ainsi que les équipes cœur, qu’elles soient IT, métiers, juridiques, risques, communication ou direction générale. Ce minimum vital doit ensuite être traité de manière différenciée : il doit bénéficier de protections renforcées, de sauvegardes spécifiques, de scénarios de restauration prioritaire et de procédures de gestion de crise dédiées.

Disposer de sauvegardes réellement restaurables

Le deuxième axe vise à garantir l’existence de sauvegardes réellement restaurables, propres et immuables. En France comme ailleurs, trop d’organisations découvrent en pleine crise que leurs sauvegardes ont été chiffrées par l’attaquant, qu’elles sont incomplètes ou qu’elles ne peuvent tout simplement pas être restaurées dans les délais compatibles avec les contraintes opérationnelles.

Pour ne pas se retrouver acculé au paiement, il est essentiel de mettre en place des sauvegardes immuables, protégées contre les modifications et suppressions malveillantes, et de les héberger dans des environnements sauvegarde isolés. Ces dispositifs doivent être régulièrement testés à travers des exercices de restauration réalistes, qui ne se limitent pas à une vérification technique. Il s’agit de vérifier que l’on peut effectivement remettre en route, en quelques heures ou quelques jours, l’ERP, le système d’information ou le portail client, en tenant compte des dépendances, des ressources humaines disponibles et des priorités métier.

Préparer les décideurs à agir sous pression

Le troisième axe concerne la préparation des femmes et des hommes amenés à décider sous pression. La résilience, en particulier dans un environnement français où la responsabilité des dirigeants est de plus en plus scrutée, repose autant sur l’organisation humaine que sur la technologie.

Il est nécessaire de définir des procédures d’incident claires : qui décide quoi, qui parle à qui, et qui a l’autorité pour affirmer que l’on ne paiera pas ? Des exercices de crise doivent être organisés régulièrement, impliquant non seulement la direction générale, la DSI et le RSSI, mais aussi les équipes juridiques et conformité, la communication interne et externe, et, lorsque c’est pertinent, des partenaires clés comme les hébergeurs, prestataires critiques ou assureurs. Enfin, l’organisation doit se doter d’une doctrine assumée vis-à-vis du paiement : dans quels cas, à quelles conditions et avec quelles contreparties cette option pourrait-elle être envisagée ? Qui doit être consulté et comment documenter la décision pour qu’elle demeure défendable ? C’est à ce prix que le refus de payer pourra devenir une position à la fois responsable et tenable dans la durée.

Vers un futur où payer ne sera plus une option « crédible »

À mesure que le Royaume‑Uni avance vers une interdiction formelle du paiement des rançons, il est probable que de nombreux pays observent les effets de cette politique. La France ne reproduira probablement pas ce modèle dans l’immédiat, mais la trajectoire est déjà claire : le niveau de transparence exigé ne cesse d’augmenter, qu’il s’agisse des notifications à la CNIL, aux régulateurs sectoriels, à l’ANSSI ou aux forces de l’ordre, d’exigences réglementaires alors que dans le même temps, la tolérance à l’égard des organisations qui n’investissent pas sérieusement dans leur résilience diminue nettement.

Dans ce contexte, pour une organisation française, qu’elle soit publique ou privée, la question stratégique n’est plus de savoir si elle pourra ou non payer, mais si elle est capable de traverser une cyberattaque sans que le paiement d’une rançon ne constitue sa seule porte de sortie. En adoptant une approche de viabilité minimale, en industrialisant la sauvegarde immuable, en la testant régulièrement et en préparant les équipes de direction à gérer une crise cyber dans toutes ses dimensions, il est possible de faire évoluer la nature même du risque : d’un risque susceptible de menacer leur survie, vers un risque certes majeur, mais véritablement maîtrisable. Elles se donnent ainsi les moyens de rester dans la seule position tenable à moyen terme : celle de pouvoir dire non au paiement d’une rançon, non pas uniquement par principe, mais parce qu’elles ont la capacité de s’en passer.