Mais lorsqu’il s’agit de la crise, les personnes touchées par un ransomware sont moins susceptibles de cracher.
Si vous étiez touché par un ransomware demain, paieriez-vous pour récupérer vos données ? C’est ce que plus de la moitié des RSSI interrogés dans une enquête récente ont déclaré que leur organisation ferait.
C’est une situation à laquelle de plus en plus d’entreprises seront confrontées à l’avenir. « Les attaques se multiplient et continuent de se multiplier », a déclaré Christy Wyatt, PDG du fournisseur de sécurité Absolute Software, qui a commandé l’enquête. « Les entreprises sont mieux préparées à y faire face : une partie de la formation s’avère payante et l’IA aide. Mais rappelez-vous que les attaquants disposent de tous les outils dont disposent les défenseurs. »
Dans l’enquête menée auprès de 750 RSSI aux États-Unis et au Royaume-Uni, 58 % ont déclaré que leur organisation serait prête à payer pour mettre fin à un incident de ransomware.
Cela va à l’encontre des conseils des autorités des deux pays. « La position de longue date du gouvernement britannique, aux côtés de ses partenaires chargés de l’application des lois, est qu’il n’encourage, n’approuve ni ne tolère le paiement de demandes de rançon », a déclaré une porte-parole du Centre national de cybersécurité du Royaume-Uni.
Le FBI met également en garde contre les demandes de ransomware, soulignant que payer ne fait qu’encourager les auteurs à attaquer les autres.
Une autre raison pour laquelle les forces de l’ordre conseillent aux entreprises de ne pas payer est qu’il n’y a aucune garantie qu’elles récupéreront leurs données si elles le font.
Compte tenu des risques et de la désapprobation des forces de l’ordre, combien de RSSI qui se disent prêts à payer le feraient si la situation était critique ?
Il est difficile d’obtenir des statistiques précises en raison de la stigmatisation perçue, mais les preuves suggèrent qu’un nombre important d’entre eux le font.
Parmi les entreprises touchées par un ransomware, 37 % ont payé la rançon, selon une enquête IDC de l’année dernière, mais David Clemente, directeur de recherche d’IDC pour les services de sécurité, soupçonne que cette proportion est plus élevée. « Je suis sûr qu’il y en a beaucoup d’autres qui l’ont payé mais qui ne veulent pas en parler ouvertement », a-t-il déclaré.
Mais ce n’était pas la fin des choses pour tous ceux qui ont payé la rançon : environ 5 % d’entre eux ont trouvé que « le décryptage était incomplet », selon IDC.
Une enquête réalisée fin 2025 par le assureur Hiscox a révélé que seulement 60 % des PME ayant payé une rançon ont réussi à récupérer tout ou partie de leurs données.
Wyatt d’Absolute a prévenu : « Vous pouvez récupérer vos données, mais pas. » Et si vous récupérez vos données, cela ne signifie pas que vous êtes le seul à les détenir : « Nous avons entendu des cas d’entreprises payant et constatant que leurs informations d’identification étaient partagées », a-t-elle déclaré.
Alors, cela signifie-t-il que les entreprises ne devraient pas payer la rançon ?
IDC a examiné la situation et a constaté que les entreprises qui avaient prévu de telles attaques seraient capables de résister, mais avec des conséquences néfastes. Environ 29 % des entreprises ont pu récupérer des fichiers cryptés à partir d’une sauvegarde », a déclaré Clemente. « Cependant, 33 % des entreprises qui n’ont pas payé ont constaté qu’elles ne pouvaient rien récupérer. »
Le détaillant britannique M&S n’a pas payé lorsqu’il a été touché par un ransomware en avril 2025, perturbant ses systèmes logistiques internes et l’obligeant à fermer sa boutique en ligne pendant des mois. Le coût de l’incident a été estimé à 400 millions de dollars en perte de bénéfice d’exploitation.
Le dilemme du paiement des ransomwares reste un problème pour les RSSI, mais la leçon que M&S peut retenir est que, si une attaque de ransomware se produit, la meilleure solution peut être de payer la rançon, à moins que vous ayez confiance dans la qualité et la robustesse de votre sauvegarde. Le gouvernement et les forces de l’ordre n’apprécieront peut-être pas cela, mais ce ne seront pas eux qui feront face à la colère des actionnaires.
