Quelle que soit leur taille, toutes les entreprises peuvent, un jour ou l’autre, et parfois à plusieurs reprises, être victimes d’une attaque par ransomware. Après le choc, vient le temps de la décision : payer ou non la rançon, et surtout, dans quel cadre légal et opérationnel agir.

Après vous êtes aperçu du blocage de vos fichiers, un message apparaît sur votre écran : "PAYEZ MAINTENANT". Vous êtes victime d'un ransomware - ©aslysun / Shutterstock
Après vous êtes aperçu du blocage de vos fichiers, un message apparaît sur votre écran : "PAYEZ MAINTENANT". Vous êtes victime d'un ransomware - ©aslysun / Shutterstock
Proton Business SuiteProton Business Suite
8.7/10

Offre partenaire

Des solutions simples et chiffrées pour protéger votre entreprise

Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.

Essayer Proton Business Suite gratuitement !

Offre partenaire

Si vous avez déjà subi une cyberattaque par ransomware, alors vous pourriez raconter à vos confrères ou partenaires comment cela s'est passé. Le plus souvent, sans signe avant-coureur, un de vos collaborateurs s'aperçoit que certains fichiers sont inaccessibles ou qu'il n'arrive pas à connecter les serveurs. Alors qu'il est en train de faire remonter le message au DSI, il voit un message s'afficher à l'écran. Stupeur, c'est une demande de rançon en échange d'une clé de déchiffrement de vos propres données ou fichiers.

Ce scénario est en pleine expansion, comme on vous le disait récemment sur Clubic. En effet, selon le cabinet de sécurité Optiv, les données collectées pour le début de l’année 2025 recensent 2 314 victimes de ransomware, soit une augmentation de 213 % par rapport à la même période en 2024.

Le risque est donc bien réel, mais surtout, il peut vous laisser dans l'impuissance la plus totale si vous ne savez pas ce que vous risquez, si vous devez payer ou non, quels sont vos recours et enfin, comment vous préparer à une attaque par ransomware.

Comprendre les ransomwares et leurs impacts sur votre entreprise

Un ransomware, ou rançongiciel, bloque vos systèmes ou chiffre vos fichiers pour obtenir une rançon. Dans la majorité des cas, les attaquants copient aussi une partie des données avant le chiffrement, puis menacent de les publier.

On retrouve ces vecteurs d’attaque dans de nombreux incidents récents : campagnes de phishing ciblées, logiciels vulnérables non corrigés ou accès à distance mal sécurisés.

En dehors de la technique, le ransomware fragilise le fonctionnement même de votre entreprise. Vos collaborateurs, d’abord, peuvent perdre l’accès à des fichiers essentiels à leur activité. Vos services clients, ensuite, accusent des retards dans le traitement des commandes ou des livraisons. Vos prestataires, enfin, rencontrent des difficultés pour exécuter leurs missions. Les données de vos clients ou de vos salariés peuvent être compromises et obligent l’entreprise à réagir rapidement et à documenter l’incident.

On constatait en fin d’année que certains groupes de cybercriminels utilisent l’intelligence artificielle pour générer automatiquement des scripts d’attaque et les adapter à chaque machine compromise. L’IA corrige certaines erreurs de code et accélère l’exploitation des systèmes infectés. Mais surtout, avec cette aide, les cybercriminels frappent plus vite et plus efficacement. Frapper plus vite et davantage pourrait bien devenir leur devise.

Sachez que payer ne garantit en rien que le cybercriminel va vous donner la clé de déchiffrement de vos données - ©Andrey_Popov / Shutterstock

Le cadre légal français et européen face aux ransomwares

Quand un ransomware frappe votre entreprise, vous devez agir rapidement tout en respectant les règles légales. La première obligation concerne les données personnelles. Au moindre risque pour les droits et libertés des personnes, vous devez notifier la CNIL dans un délai de 72 heures. Cela s’applique dès qu’un rançongiciel bloque ou compromet des fichiers contenant des données personnelles de vos clients, collaborateurs ou partenaires. Mais c'est surtout obligatoire si vous avez contracté une assurance spécifique « cyber ». Et si vous ne le faites pas, alors vous êtes passible de sanction, conformément à l'article 33 du RGPD.

D'ailleurs, son bilan de cinq années de RGPD, la CNIL relève que ce sont les attaques par ransomware qui reviennent dans le plus grand nombre de déclarations d’incidents. Sachez par ailleurs que même en cas d’attaque externe, votre entreprise et vous êtes responsables de la protection des données. Vous devez donc recenser et relater chaque étape de votre réponse.

En plus de la CNIL, n’hésitez pas à consulter Cybermalveillance.gouv.fr pour vous guider dans votre démarche. Il vous indique par exemple que porter plainte permet de conserver les preuves et de documenter l’incident. Par exemple, si vous effectuez un paiement de rançon sans avoir suivi le protocole indiqué, vous compromettez la prise en charge par votre assureur.

Aucune règle française n’interdit directement de payer une rançon. Toutefois, sachez que vous prenez des risques juridiques si vous transférez des fonds vers un groupe criminel ou une entité sous sanctions internationales. Payer n’offre aucune protection contre les nouvelles attaques et ne diminue pas votre responsabilité légale. Dans une étude récente, 78 % des entreprises ayant payé une rançon subissent ensuite une nouvelle attaque.

Vous devez également mesurer la responsabilité du dirigeant. Lorsque le paiement vise à préserver l’intérêt de l’entreprise, le droit français n’assimile pas ce choix à un abus de biens sociaux. En revanche, si le cybercriminel cible personnellement le dirigeant et que le paiement intervient sur les fonds de la société, le risque juridique change de nature.

Enfin, gardez à l’esprit que d’autres pays sont bien plus stricts. Aux États-Unis, le paiement de rançon peut exposer à des sanctions lorsque les fonds transitent vers des groupes figurant sur des listes de sanctions. Même une entreprise française peut se retrouver concernée si elle utilise des services financiers ou techniques soumis au droit américain.

Pour vous protéger, entre autres outils, pensez à l'assurance cyber - © rawf8 /Shutterstock

Comment agir en cas d'attaque par ransomware, et les prévenir

Comme on a pu le voir précédemment, dès que vous découvrez que vos services sont touchés par un ransomware, il faut agir vite, mais bien. L’ANSSI rappelle les premières étapes à respecter afin de limiter les dégâts et d’organiser la réponse sans précipitation. Le site Cybermalveillance vous donne également un plan précis concernant la réaction à une attaque.

Mais comme bien souvent, il vaut mieux prévenir que guérir. Si cela n’est pas déjà fait, vous pouvez établir un plan de simulation d’attaque, telle qu’on vous l’a détaillée dans un de nos dossiers précédents. En une heure, dirigeants, DSI et responsables métiers se retrouvent confrontés à un scénario réaliste, avec des décisions à prendre rapidement et une coordination à assurer entre les équipes.

En guise de prévention supplémentaire, il est peut-être également temps de reconsidérer l’assurance cyber. Elle n’est peut-être pas si superflue que cela. D’autant qu’elle définit un cadre précis, avec des procédures à suivre et des interlocuteurs identifiés pour accompagner l’entreprise dans la gestion de l’incident.

Enfin, récemment, on a constaté que les paiements de rançons ont reculé de 35 % en 2024. Alors attention, cela tient moins au ralentissement des attaques qu'à une meilleure contre-attaque des entreprises. Et elle est là la bonne nouvelle, TPEcomme PME reprennent la main.