Outre-Manche, le gouvernement envisage d’interdire aux administrations et aux opérateurs d’infrastructures critiques de payer des rançons après une cyberattaque. Londres travaille également sur un mécanisme de notification préalable : toute entité souhaitant verser de l’argent à un groupe cybercriminel devrait en informer l’État. L’objectif est explicite : assécher le modèle économique du ransomware en rendant les cibles publiques moins lucratives et en limitant les flux financiers vers les attaquants.
Cette dynamique n’est pas sans résonance en France. Une interrogation s’impose : que se passerait-il si, demain, le paiement d’une rançon devenait juridiquement ou politiquement intenable ?
Une interdiction qui n’existe pas en France… mais une pression croissante
Contrairement au Royaume-Uni, la France ne prohibe pas, à ce stade, le paiement d’une rançon. Les autorités demeurent toutefois constantes dans leur position : l’ANSSI, les forces de l’ordre et les ministères concernés déconseillent fortement de céder aux exigences des cybercriminels. Non seulement le paiement ne garantit ni la récupération des données ni la fin de l’attaque, mais il augmente le risque de rechute et contribue à financer des organisations criminelles, parfois liées à des régimes ou à des groupes sanctionnés.
Les implications juridiques sont loin d’être théoriques. Verser une rançon peut exposer à des risques pénaux liés au financement du terrorisme, au blanchiment ou à des violations de sanctions internationales. Par ailleurs, une entreprise insuffisamment protégée pourrait se voir reprocher un défaut manifeste de diligence.
Les secteurs critiques, déjà sur-sollicités, font face à un durcissement réglementaire. Les OIV sont soumis à des exigences renforcées par la Loi de Programmation Militaire 2023–2030, tandis que l’entrée en vigueur de la directive NIS2 élargit les obligations à un vaste spectre d’acteurs, de l’hospitalier aux collectivités territoriales en passant par l’énergie et la finance.
Le marché de l’assurance cyber, lui aussi, se transforme. Le débat porte moins sur l’interdiction de payer que sur le remboursement éventuel de ces rançons. Les assureurs conditionnent désormais leurs garanties à des niveaux de sécurité précis, à un dépôt de plainte et à une transparence accrue. Les polices deviennent plus restrictives et plus coûteuses, rendant illusoire l’idée d’un “chèque de secours” en cas de crise.
Pour les organisations françaises, la seule option est l’anticipation
Qu’une interdiction soit un jour instaurée ou non, la trajectoire est nette : payer devient plus risqué, plus difficile à défendre et moins acceptable. La vraie question n’est plus “aura-t-on encore le droit de payer ?”, mais “sera-t-on capable de ne pas avoir à payer ?”.
Trois leviers structurants émergent pour réduire la dépendance au paiement :
1. Identifier et protéger son “noyau vital”
Il s’agit de penser la résilience par les métiers, en définissant ce qui permettrait à l’organisation de continuer à fonctionner en mode dégradé. Applications critiques, données indispensables, processus clés et équipes cœur doivent bénéficier de protections prioritaires, de sauvegardes spécifiques et de scénarios de redémarrage accéléré.
2. Disposer de sauvegardes réellement restaurables
Les crises ont révélé l’existence de sauvegardes chiffrées, corrompues ou non restaurables dans les délais métiers. D’où l’importance de sauvegardes immuables, isolées, testées régulièrement à travers des exercices réalistes — non seulement techniques mais organisationnels.
3. Préparer la prise de décision sous pression
La résilience dépend autant des processus humains que de la technologie. Elle suppose de définir qui décide, qui parle, et comment s’articule la chaîne de commandement. Les exercices de crise doivent mobiliser la direction générale, la DSI, la conformité, le juridique, la communication, les métiers et l’écosystème de partenaires. Une doctrine claire vis-à-vis du paiement doit être assumée, documentée et défendable.
Vers un futur où payer ne sera plus une option crédible
Le débat britannique pourrait inspirer d’autres pays. La France n’adoptera probablement pas, à court terme, une interdiction stricte. Mais la tendance est perceptible : transparence accrue envers les autorités, exigences réglementaires renforcées, baisse de tolérance envers les organisations insuffisamment préparées.
Pour les entreprises, collectivités et établissements publics, l’enjeu devient stratégique : parvenir à traverser une cyberattaque sans que le paiement de la rançon ne constitue la seule issue. En structurant la résilience autour de la viabilité minimale, de la sauvegarde immuable et de la décision en crise, elles se mettent en position de dire non — par principe, mais surtout parce qu’elles en ont réellement les moyens.
