La police, les gouvernements, les autorités et les régulateurs sont unanimes : il ne faut jamais payer de rançon en cas d’attaque par ransomware. Le message est limpide, répété depuis des années, et il ne varie pas. Pourtant, la réalité du terrain raconte une toute autre histoire. Comme je l’expliquais récemment dans le Journal Le Temps, de nombreuses entreprises suisses paient, dans tous les secteurs, de la finance à l’éducation en passant par la santé. Même des entités appartenant à la Confédération, comme Ruag, ont fini par céder lorsqu’elles se sont retrouvées le dos au mur.
Ce décalage entre le discours officiel et la pratique mérite mieux qu’un jugement moral hâtif. Il mérite une vraie réflexion : dans quelles conditions est-il éthiquement acceptable de payer une rançon ?
Ce que finance réellement une rançon
Commençons par regarder la vérité en face. En payant une rançon, on soutient directement l’industrie de la cybercriminalité. Chaque versement subventionne ces organisations criminelles : il leur permet de recruter davantage de hackers, de s’équiper de meilleurs outils, de professionnaliser leurs opérations et de devenir plus performantes. C’est un investissement dans leur croissance.
Mais il y a un second effet, plus insidieux. En payant, nous envoyons un signal : notre pays, notre industrie, notre secteur sont de bons « prospects ». Les groupes de ransomware fonctionnent comme des entreprises, avec des analyses de rentabilité. Chaque rançon versée en Suisse confirme que les organisations suisses paient, et donc que cibler la Suisse vaut l’effort.
C’est pour cette raison qu’un principe doit guider toute décision : on ne paie pas une rançon parce que cela nous arrange ou parce que c’est plus pratique. On ne peut envisager de payer que lorsque l’impact de ne pas payer serait dramatique ou inacceptable.
Deux menaces distinctes, deux analyses distinctes
Le ransomware moderne capitalise sur une double extorsion. Pour raisonner correctement, il faut examiner chaque menace individuellement.
Premier scénario : les données sont chiffrées, les sauvegardes détruites
Dans ce contexte, les données de l’entreprise ont tout simplement disparu. Impossible de travailler, impossible d’honorer les contrats. Les clients se retrouvent dans des situations problématiques, et potentiellement, c’est toute une chaîne industrielle qui dépend de nous qui se retrouve perturbée. L’impact principal touche certes notre propre compagnie, mais il va bien au-delà et affecte des tiers qui n’ont rien demandé.
Lorsque la seule façon d’assurer la survie de l’entreprise, de préserver les emplois et d’honorer ses engagements est de récupérer rapidement ses données, le paiement de la rançon devient une option qu’on ne peut écarter d’un revers de main.
Second scénario : les données ont été exfiltrées
Ici, les criminels menacent de publier des informations internes. L’impact paraît peut-être moins flagrant à première vue, mais il peut être bien plus grave.
Il y a d’abord les secrets de production et la propriété intellectuelle, dont la divulgation aurait un impact direct sur la compétitivité de l’entreprise. Il y a ensuite les données personnelles des employés, soumises au RGPD et à la LPD, avec les conséquences légales et humaines que cela implique.
Mais les plus gros risques concernent les informations que nous détenons sur nos clients. Des informations sur la fortune personnelle de particuliers, qui pourraient ensuite déclencher des kidnappings, des cambriolages ou des agressions physiques. Des dossiers de santé mentale, des analyses psychologiques, des confessions intimes. Des données stratégiques d’une entreprise cliente qui la mettraient dans une situation intenable. Des stratégies juridiques en pleine procédure légale.
Si ces informations deviennent publiques, l’impact est simplement trop grand et trop grave pour être ignoré. Dans ces cas, refuser de payer par principe revient à faire porter les conséquences de notre cyberattaque à des tiers innocents.
Les questions qu’on oublie de se poser
Le paiement d’une rançon soulève d’autres questions que la simple décision binaire de payer ou non.
Quel est le montant maximal qu’on peut se permettre de payer ? Il faut savoir que dans de nombreux cas, le montant de la rançon est relativement faible par rapport au coût complet de l’incident, incluant la réponse technique, légale, réputationnelle et la perte de gain. La rançon peut ne représenter qu’un quart de ce montant. Cela ne justifie rien, mais cela relativise l’impact financier du paiement dans l’équation globale.
Et surtout : qui sont ces criminels qu’on paie ? Où va l’argent, dans quel pays, et comment sera-t-il utilisé ? Certains groupes opèrent pour le compte d’États. L’Iran et la Corée du Nord, par exemple, utilisent les revenus du ransomware pour financer leurs programmes militaires. Payer une rançon, c’est parfois, sans le vouloir, contribuer au financement de programmes d’armement. Cette dimension géopolitique et de conformité aux sanctions doit impérativement faire partie de l’analyse.
La réalité d’une victime en pleine crise
Il faut enfin remettre cette décision dans son contexte. Lorsqu’on est victime d’un ransomware, on vit une crise et une angoisse terribles. Il faut gérer la cellule de crise, travailler pour continuer à délivrer les services, rassurer les clients, les employés, les investisseurs, les régulateurs et les autorités. Il faut communiquer correctement, reconstruire son infrastructure, tout cela dans un stress immense et avec beaucoup de peur.
Le paiement de la rançon n’est qu’une décision parmi tant d’autres qui doivent être prises dans ces conditions. Et soyons honnêtes : beaucoup de gens vous jugeront, quelle que soit la décision que vous prendrez. Ceux qui paient seront accusés de financer le crime. Ceux qui refusent seront accusés d’avoir sacrifié leurs clients ou leurs employés.
Ce qui compte vraiment, c’est que de votre côté, vous ayez pris le temps de peser le pour et le contre, d’évaluer les impacts réels sur votre entreprise et sur les tiers, de comprendre qui vous payez et ce que cela finance. C’est cette rigueur dans l’analyse qui vous permettra d’être confiant que la décision prise, quelle qu’elle soit, était la meilleure possible dans les circonstances.
Ne jamais payer reste le bon principe. Mais un principe n’est utile que si l’on comprend quand et pourquoi il peut être éthiquement justifié d’y déroger.
Retrouvez notre interview et l’analyse d’Anouch Seydtaghia sur le site du Journal Le Temps.
