Payer la rançon ne garantit pas une récupération fluide ou même réussie des données. Mais ce n’est même pas le seul problème auquel les responsables de la sécurité seront confrontés sous le feu des critiques. La préparation est la clé.
En conséquence, deux entreprises sur cinq qui paient des cybercriminels pour le décryptage de ransomwares ne parviennent pas à récupérer leurs données, selon une enquête menée auprès de milliers de PME par le fournisseur d’assurance Hiscox.
L’enquête a également révélé que les ransomwares restent une menace majeure, puisque 27 % des entreprises interrogées ont signalé une attaque au cours de l’année écoulée. Parmi les personnes concernées, 80 % (entreprises assurées et non assurées) ont payé une rançon pour tenter de récupérer ou de protéger des données critiques.
Mais seuls 60 % ont réussi à récupérer tout ou partie de leurs données, selon le rapport de préparation à la cybersécurité d’Hiscox.
Un rapport de QBE Insurance publié plus tôt ce mois-ci sur la cybercriminalité et les menaces basées sur le cloud a révélé que les incidents de ransomware ont presque triplé d’une année sur l’autre au premier trimestre 2025, atteignant 1 537 au premier trimestre 2025 contre 572 au même trimestre l’année dernière. L’enquête 2025 sur l’état des ransomwares de CrowdStrike publiée ce mois-ci a également révélé que 93 % des victimes payant des ransomwares se sont de toute façon fait voler leurs données.
Un cryptage défectueux des ransomwares fait souvent obstacle à la récupération
Les statistiques d’Hiscox sur le sort des victimes de ransomwares ne mettent en évidence qu’une des innombrables difficultés auxquelles les organisations sont confrontées lorsqu’elles tentent de se remettre d’attaques de ransomwares, selon les experts du secteur.
Les décrypteurs sont souvent lents et peu fiables, ajoute John.
« Le décryptage à grande échelle dans les environnements d’entreprise peut prendre des semaines et échoue souvent sur des fichiers corrompus ou des systèmes de bases de données complexes », explique-t-il. « Il existe des cas où le processus de décryptage lui-même entraîne une corruption supplémentaire des données. »
Même lorsque des outils de décryptage sont fournis, ils peuvent contenir des bogues ou laisser des fichiers corrompus ou inaccessibles. De nombreuses organisations s’appuient également sur des sauvegardes non testées et vulnérables. Pire encore, de nombreuses victimes de ransomwares découvrent que leurs sauvegardes ont également été cryptées dans le cadre de l’attaque.
« Les criminels utilisent souvent des outils de chiffrement défectueux ou incompatibles, et de nombreuses entreprises ne disposent pas de l’infrastructure nécessaire pour restaurer proprement les données, en particulier si les sauvegardes sont inégales ou si les systèmes sont toujours compromis », explique Daryl Flack, partenaire du fournisseur de sécurité géré basé au Royaume-Uni Avella Security et conseiller en cybersécurité auprès du gouvernement britannique.
Pressions supplémentaires en matière de rétablissement
Les attaques modernes de ransomware impliquent désormais régulièrement une double ou triple extorsion par laquelle les attaquants menacent de divulguer des données volées ou de lancer des attaques par déni de service distribué (DDoS), même après le paiement.
Cela change fondamentalement le calcul de ce à quoi les victimes peuvent s’attendre dans les cas où elles décident d’effectuer un paiement par ransomware, ce qui, le plus souvent, ne parvient pas à résoudre de nombreux problèmes découlant d’une attaque de ransomware.
« Le paiement ne concerne que l’élément de chiffrement, et non le compromis plus large », note John de Bridewell.
De plus, un incident de ransomware met une organisation sous une pression énorme, avec des problèmes juridiques, opérationnels et de réputation convergeant, souvent en quelques heures.
Ces facteurs, combinés à l’incertitude inhérente au traitement des criminels, contribuent à expliquer pourquoi le paiement de la rançon ne permet souvent pas de récupérer complètement les données.
Lillian Tsang, avocate principale de l’équipe de protection des données et de la vie privée de Harper James, prévient que même lorsqu’une clé de déchiffrement est reçue, certaines données peuvent déjà être définitivement endommagées, altérées ou volées.
« Cela crée des défis opérationnels, mais soulève également des problèmes de protection des données, en particulier lorsqu’il s’agit de données personnelles », explique Tsang. « Si des enregistrements sont perdus ou compromis, cela peut équivaloir à une violation de données personnelles en vertu du RGPD britannique, ce qui entraîne des obligations de déclaration et la possibilité d’un contrôle réglementaire. »
Payer une rançon ne donne à une entreprise aucun recours légal si les criminels ne parviennent pas à livrer leur marchandise et, pire encore, « le paiement peut créer un risque supplémentaire si les fonds sont transférés sans le savoir à un groupe sanctionné », prévient Tsang.
Résilience financière et problèmes juridiques
Le déroulement pratique d’une attaque de ransomware est illustré par le récit d’un cadre de Kantsu, une entreprise logistique japonaise de taille moyenne. Le président de Kantsu, Hisahiro Tatsujo, a informé CIO.com des efforts déployés par l’entreprise pour rétablir ses opérations suite à une attaque de ransomware.
Kantsu – qui n’a pas payé de ransomware – a été obligé de demander des prêts aux institutions financières pour couvrir le coût de la reprise de ses opérations car, bien qu’elle soit assurée, sa compagnie d’assurance a dû passer par une procédure de réclamation avant d’effectuer un paiement. L’incident a illustré à quel point les entreprises ont besoin d’un plan financier et opérationnel pour réussir à se remettre des attaques de ransomware.
De plus, lorsque les systèmes sont perturbés par des attaques de ransomwares, les obligations légales entrent en jeu presque immédiatement avec l’obligation d’informer les régulateurs et les personnes concernées, en particulier si les données personnelles sont affectées par une violation.
« L’un des plus grands défis consiste à prendre des décisions rapides et à enjeux élevés avec seulement des fragments d’informations », explique Tsang de Harper James. « Les hauts dirigeants doivent peser les risques juridiques liés au paiement, l’impact sur la continuité des activités et les conséquences potentielles pour les individus, souvent avec une clarté technique limitée. »
Prévenu est prévenu
Certains experts conseillent de conserver un mandat auprès d’une entreprise de réponse aux incidents dans le cadre des plans de reprise après sinistre qui anticipent la possibilité bien trop réelle d’une attaque de ransomware.
« Il est crucial d’avoir recours à une société de réponse aux incidents ou de négociation réputée, équipée pour gérer les transactions en cryptomonnaies », déclare Jeremy Samide, PDG de Blackwired, une société de cybersec axée sur les renseignements directs sur les menaces. « Ces entreprises gèrent les négociations, ont accès à plusieurs types de cryptographie (par exemple, Bitcoin, Monero, Zcash) et peuvent exécuter des transferts en toute sécurité si le paiement devient la seule voie de récupération. »
Samide ajoute : « Se préparer ne signifie pas capituler, cela signifie être prêt à affronter tous les scénarios. »
Tsang de Harper James met en garde contre la mise de côté de fonds pour payer les criminels en cas d’attaques de ransomware.
« Mettre des fonds de côté pour payer une rançon est de plus en plus considéré comme problématique », explique Tsang. « Bien que le paiement ne soit pas illégal en soi, il peut enfreindre les sanctions, alimenter davantage d’activités criminelles et il n’y a aucune garantie d’un résultat positif. »
Une position juridique et stratégique plus sûre résulte d’un investissement dans la résilience grâce à des mesures de sécurité solides, des plans de rétablissement bien testés, des protocoles de reporting clairs et une cyber-assurance, conseille Tsang.
« La cyberassurance est cruciale contre les attaques de ransomwares, car non seulement elle offre une protection financière, mais elle peut également donner aux organisations l’accès à une assistance spécialisée qui peut réduire considérablement les dommages et les temps d’arrêt », explique Tsang.
Les polices d’assurance cyber proposent souvent une gestion active de crise, avec des dispositions qui peuvent couvrir :
- Réponse immédiate aux incidents et enquête médico-légale
- Confinement et remédiation des systèmes infectés
- Négociation et coordination juridique avec les attaquants
- Assistance à la récupération des données et à la continuité des activités
« L’assurance ne peut pas empêcher une attaque, mais elle peut atténuer le coup, structurer le chaos et garantir que les organisations ne font pas face seules aux crises de ransomware », explique Samide de Blackwired.
Mais la cyberassurance comporte toujours des réserves, mettent en garde d’autres experts.
« Les primes d’assurance augmentent et les assureurs s’attendent désormais à des mesures de cybersécurité plus solides – authentification multifacteur, gestion des correctifs et sauvegardes testées – avant d’offrir ou de renouveler une couverture », explique Flack d’Avella Security. « Ce changement encourage les organisations à adopter de meilleures pratiques de sécurité dans le cadre de leur approche de gestion des risques. »
Cyber-récupération
La cyber-récupération suite à une attaque de ransomware doit être traitée de la même manière que la reprise après sinistre, avec un plan de récupération interne entièrement défini, entièrement documenté, dans lequel les données non compromises peuvent être restaurées en toute confiance, conseillent les experts.
« Lorsque les entreprises sont touchées par un ransomware, l’un des premiers et des plus urgents défis consiste à évaluer l’ampleur complète de l’attaque : identifier quelles données ont été compromises, quels systèmes sont affectés et si les sauvegardes existantes sont fiables », explique Jim McGann, directeur marketing chez Index Engines. « Même lorsque des sauvegardes sont disponibles, la vérification de leur intégrité constitue un obstacle majeur, car elles peuvent contenir des fichiers corrompus ou altérés susceptibles de réintroduire la menace lors de la récupération. »
« Les entreprises ont désormais besoin de plans de récupération internes qui incluent une validation des données au niveau médico-légal, et pas seulement une restauration », conseille McGann.
