93% : c'est la proportion d'organisations à avoir vu leurs données exfiltrées après avoir répondu favorablement à une demande de rançon, alors que les cybercriminels leur promettaient le contraire. Un chiffre qui ressort de l'étude annuelle “State of Ransomware” publiée par la société de cybersécurité CrowdStrike, menée auprès de 1100 décideurs IT d'organisations de plus de 250 personnes dans sept pays différents (dont 75 en France).
En plus de voir leurs données dérobées quelle que soit l'issue, les entreprises et administrations payant une rançon deviennent plus vulnérables pour les hackers. Ainsi, 83% des organisations interrogées ayant cédé à une demande de paiement ont été de nouveau attaquées et 45% d'entre elles n'ont pas pu récupérer l'intégralité de leurs données.
Plusieurs initiatives nationales et internationales contre le paiement de rançons
“Le paiement d'une rançon ne garantit pas que les auteurs de la menace ne divulguent pas les données de la victime ou ne frappent pas de nouveau, ce qui modifie fondamentalement le calcul du rapport risque-bénéfice pour les organisations ciblées”, note CrowdStrike. (…) Les facteurs économiques favorisent les attaquants qui peuvent percevoir des paiements tout en conservant les données volées pour les exploiter ultérieurement, tenter d'autres extorsions ou les vendre à d'autres groupes criminels.”
À l'échelle internationale, plusieurs initiatives ont vu le jour pour éviter le paiement de rançons. Fin 2023, 40 pays – dont les Vingt-Sept – se sont réunis au sein d'un groupe de travail coordonné par les États-Unis en s'engageant à ne plus céder aux pressions des cybercriminels et à mettre en commun des éléments sur les comptes de paiement des rançons. Le Royaume-Uni envisage de son côté d'interdire à ses administrations de céder à toute demande de rançon, tandis qu'en Australie, les sociétés dont le chiffre d'affaires est supérieur à 3 millions de dollars australiens doivent déclarer au gouvernement le paiement d'une rançon.
Les sauvegardes ne sont pas une garantie
Bien qu'aucune interdiction ne soit en vigueur en France, les consignes sont assez claires sur le sujet. “Ne payez pas la rançon réclamée (…), rappelle Cybermalveillance.gouv.fr sur une page d'aide aux victimes. Vous encourageriez les cybercriminels à surenchérir et/ou chercher à vous attaquer à nouveau et financeriez le développement de leur activité.” Seul le signalement d'une attaque par ransomware à la Cnil est obligatoire pour tout responsable de traitement des données personnelles dès lors que l'incident présente un risque de violation de la vie privée.
La société de cybersécurité insiste également sur le fait que les sauvegardes et outils de restauration ne constituent en aucun cas un filet de sécurité. Près de quatre déclarants sur dix n'ont pas pu récupérer leurs données après un incident de ransomware, qu'ils aient payé une rançon ou non. Pour ceux ayant entièrement récupéré leurs données, CrowdStrike précise que 82% d'entre eux “ne sont pas équipés pour faire face aux répercussions sur leur réputation liées à la fuite de données sensibles”.
![[ÉNERGIES] Déployez vos projets IA à l’échelle, inspirez-vous du cas ENGIE Entreprises et Collectivités](https://cdn.webikeo.com/webinar_logo/2025-10-24-ac93013fcd6c2ea907b5a091f0e74c90.png){kind=logo}
