1,1 milliard de dollars (940 millions d'euros) : c'est la somme perçue en 2023 par les cybercriminels du monde entier suite à des demandes de rançon, selon une étude publiée l'année dernière par Chainalysis. Les montants versés, parfois exorbitants, entraînent de nombreuses difficultés financières en entreprise… et font perdre des millions d'euros d'argent public.
Collectivités locales, écoles…
En plus de contribuer à pérenniser un modèle économique illicite, le paiement d'une rançon ne garantit pas à l'organisation débitrice une récupération et une restauration de l'accès à ses données. D'après un rapport publié par Sophos en 2021, seules 8% des entreprises ayant versé une rançon ont réussi à restaurer l'ensemble de leurs données et 29% d'entre elles en ont récupéré au mieux la moitié.
Face à ce gaspillage, le gouvernement britannique a lancé entre janvier et avril une consultation sur plusieurs propositions de lutte contre les ransomwares. La principale mesure vise à interdire tout paiement de rançon émanant d'organismes du secteur public et d'opérateurs d'infrastructures nationales critiques. Une liste qui comprendrait les communes et les écoles, mais aussi le NHS, le système de santé publique du Royaume-Uni, gravement touché par le ransomware WannaCry en 2017. “Près de trois quarts des personnes interrogées ont manifesté leur soutien à la proposition”, écrivent dans un communiqué publié le 22 juillet le ministère de l'Intérieur et le National Cyber Security Centre (NCSC).
Conseiller les entreprises privées sur le paiement d'une rançon
Le Royaume-Uni prévoit également d'obliger les “entreprises non concernées par l'interdiction” à informer le gouvernement de toute volonté de paiement d'une rançon. Ce dernier pourrait ainsi conseiller l'entreprise victime sur la posture à tenir, en particulier d'un point de vue réglementaire. Si le paiement en tant que tel n'est pas explicitement interdit, il est en revanche prohibé d'envoyer de l'argent à des groupes criminels sanctionnés par le Royaume-Uni (majoritairement basés en Russie).
Le NCSC, au même titre que d'autres agences nationales (l'Anssi en France, le FBI aux États-Unis…) déconseille déjà aux victimes de ransomware de payer une quelconque rançon. “Les forces de l'ordre n'encouragent ni ne cautionnent le paiement de rançons, écrit l'agence sur son site. Il n'y a aucune garantie que vous aurez accès à vos données ou à votre ordinateur, votre ordinateur sera toujours infecté, vous paierez des groupes criminels et vous êtes plus susceptibles d'être ciblé à l'avenir.” En Australie, une première étape a été franchie : depuis fin mai, toute organisation dont le chiffre d'affaires annuel est supérieur à 3 millions de dollars australiens (1,6 million d'euros) ou étant considérée comme une infrastructure critique doit déclarer au gouvernement le paiement d'une rançon.
Vers un signalement obligatoire de la part des victimes ?
Avec ces propositions, le pays espère à la fois perturber le mode de financement des groupes cybercriminels spécialisés dans les attaques par ransomware, mais aussi rendre les services publics moins prisés par ces gangs. “En travaillant en partenariat avec l'industrie pour faire progresser ces mesures, nous envoyons un signal clair que le Royaume-Uni est uni dans la lutte contre les ransomwares”, a déclaré Dan Jarvis, ministre d'État à la sécurité.
Une troisième mesure, en cours d'élaboration, vise à rendre le signalement obligatoire pour toute victime de ransomware. L'idée est d'aider les autorités à disposer de davantage de renseignements sur les groupes responsables et de mieux soutenir et conseiller les victimes. Rien qu'en début de semaine, l'entreprise de transport britannique KNP (700 salariés) a été contrainte de fermer ses portes suite à une cyberattaque du groupe de ransomware Akira en 2023. En cause : un mot de passe très faible choisi par un salarié, que les hackers ont pu deviner sans difficulté.
Une obligation partielle déjà en vigueur en France
“Les réponses à la consultation ont montré un fort soutien à un nouveau régime de signalement obligatoire”, appuient le ministère de l'Intérieur et le NCSC. Le Royaume-Uni pourrait ainsi montrer l'exemple à d'autres pays, qui appliquent cette obligation sous conditions. En France, par exemple, les responsables de traitement des données personnelles doivent signaler une attaque par ransomware à la Commission nationale de l'informatique et des libertés (Cnil) dès lors que l'incident présente un risque de violation de la vie privée pour un ou plusieurs individus.
![[ÉNERGIES] Déployez vos projets IA à l’échelle, inspirez-vous du cas ENGIE Entreprises et Collectivités](https://cdn.webikeo.com/webinar_logo/2025-10-24-ac93013fcd6c2ea907b5a091f0e74c90.png){kind=logo}
