Le paiement d'une rançon est-il légal en France ?

Payer une rançon n'est pas en soi pénalement interdit pour la victime, mais c'est fortement déconseillé par les autorités et cela peut soulever des questions juridiques (financement d'activités criminelles, sanctions internationales si l'attaquant est sur une liste). Depuis 2023, l'indemnisation d'une rançon par une assurance est encadrée et conditionnée au dépôt d'une plainte. Il faut toujours consulter un conseil et les autorités.

Négocier une rançon de ransomware : faut-il payer ?

Vos fichiers sont chiffrés, vos données volées, et un compte à rebours s'affiche à l'écran avec un montant à payer en cryptomonnaie. Faut-il payer ? La réponse honnête est qu'il n'y a pas de bonne réponse simple, mais qu'il existe une bonne méthode. Et la première règle est de ne jamais décider seul, ni dans la panique.

Ransomware : l'extorsion à l'ère numérique

Le rançongiciel (ransomware) est devenu l'une des principales menaces pesant sur les organisations. Le principe : des cybercriminels pénètrent un système, chiffrent les données pour les rendre inutilisables, et souvent les exfiltrent au passage. Ils exigent ensuite une rançon, généralement en cryptomonnaie, contre une clé de déchiffrement et la promesse de ne pas publier les données volées, c'est la « double extorsion ».

Pour la victime, c'est une crise totale : activité paralysée, données clients menacées, réputation en jeu, pression du temps. On bascule alors dans une véritable négociation de crise, sous contrainte extrême et face à un adversaire sans visage. La gestion technique de l'incident est l'affaire des experts en cybersécurité ; la décision et la conduite de la négociation, elles, relèvent d'une autre discipline.

Payer ou ne pas payer : la doctrine et la réalité

La position des autorités est claire. La doctrine officielle française, portée par l'ANSSI (Agence nationale de la sécurité des systèmes d'information), est de ne pas payer. Trois raisons à cela : payer ne garantit ni le déchiffrement, ni la non-divulgation des données ; payer finance la criminalité et alimente le modèle économique des attaquants ; et payer désigne la victime comme solvable, donc comme une cible à réattaquer.

La réalité du terrain est plus nuancée. Selon des cyber-négociateurs, environ une victime sur deux finit par payer. Car pour le dirigeant, la question n'est pas morale mais existentielle : « Si je ne paie pas, combien de temps pour reconstruire ? Ces données sont-elles vitales ? Mon entreprise peut-elle y survivre ? » C'est un froid calcul coût-bénéfice, sous la menace de la faillite.

La règle d'or : la décision de payer ou non ne se prend jamais seul, ni dans les premières heures de panique. Elle se prend après avoir gagné du temps, vérifié la menace, consulté les autorités et un conseil juridique.

À noter : l'ANSSI et le parquet ont par le passé reproché à certains assureurs d'encourager indirectement le phénomène en indemnisant les rançons. Depuis 2023, le cadre s'est resserré, l'indemnisation d'une rançon par une assurance étant désormais conditionnée au dépôt d'une plainte.

Comment se négocie une rançon

Contrairement à une idée reçue, négocier avec des cybercriminels ne signifie pas accepter de payer. La négociation est d'abord un outil tactique, mené le plus souvent par des négociateurs spécialisés, par écrit, via le canal imposé par les attaquants. Ses objectifs :

Gagner du temps

Chaque heure gagnée permet d'évaluer l'ampleur de l'attaque, d'avancer sur la restauration des sauvegardes et de reprendre le contrôle. Le temps est ici aussi l'allié du négociateur.

Vérifier la réalité de la menace

Exiger une preuve de déchiffrement (sur quelques fichiers) et une preuve des données réellement exfiltrées. Beaucoup de menaces sont exagérées ou bluffées.

Faire baisser le montant

Les montants initiaux sont souvent un ancrage. Une négociation professionnelle peut réduire significativement la demande, sans que cela vaille engagement de payer.

Recueillir du renseignement

Identifier le groupe, son mode opératoire, sa fiabilité supposée. Ces informations éclairent la décision et alimentent l'enquête des autorités.

On retrouve ici les fondamentaux de la négociation de crise : temporiser, vérifier, ne rien céder sans contrepartie, et garder la tête froide face à la pression.

Les erreurs qui aggravent tout

Sous le choc, les organisations commettent souvent les mêmes fautes, qui réduisent leurs options et augmentent la facture :

Payer dans la panique, dès les premières heures, sans vérification ni conseil.
Gérer seul et en secret, sans alerter l'ANSSI ni déposer plainte.
Éteindre les machines infectées, détruisant des preuves utiles (il faut isoler, pas éteindre).
Communiquer en dehors du canal ou de façon impulsive avec les attaquants, sans stratégie.
Négliger la communication de crise envers les clients, salariés et autorités, ce qui aggrave l'atteinte à la réputation.

Réflexe immédiat

En cas d'attaque : isoler les machines sans les éteindre, alerter la direction et la cellule de crise, prévenir l'ANSSI et déposer plainte, et faire appel à des experts en réponse à incident et à un négociateur. Ne jamais répondre seul, ni payer dans la précipitation.

Se préparer avant l'attaque

Comme toute négociation de crise, la cyber-extorsion se prépare quand tout va bien. Une entreprise prête négocie en position de force ; une entreprise prise au dépourvu subit. La préparation repose sur quelques piliers :

Des sauvegardes hors ligne, testées et restaurables rapidement
Un plan de réponse à incident et une cellule de crise identifiée
La dimension négociation intégrée au plan de crise, pas improvisée
Une cartographie des données sensibles et de leur criticité
Des contacts pré-identifiés : ANSSI, experts forensic, négociateur, conseil juridique

Avoir des sauvegardes saines change tout : c'est votre BATNA face aux attaquants. Si vous pouvez restaurer, vous n'êtes plus à leur merci.

Le rôle du négociateur et de la cellule de crise

Face à une cyber-extorsion, l'entreprise n'a pas à affronter seule des criminels organisés. Une réponse efficace combine trois métiers : les experts techniques (réponse à incident, forensic), les négociateurs qui conduisent l'échange et préservent la décision, et la communication de crise qui protège la réputation et informe les parties prenantes.

Arkane intervient sur le volet humain et stratégique : appui à la négociation, conduite de la cellule de crise, articulation avec les autorités, et formation des équipes dirigeantes par la simulation, y compris des scénarios de cyber-extorsion, en mobilisant notre expérience, notre vécu et notre expertise du terrain en négociation de crise, sensible et complexe, et en travaillant l'approche psychologique et les profils des attaquants comme des décideurs, la cartographie des risques et des rapports de force, l'analyse de la situation, la préparation et le retour d'expérience (RETEX) de chaque négociation, pour être toujours plus performants. Pour la dimension gestion et communication de crise cyber proprement dite, nos cabinets partenaires de gestion de crise complètent le dispositif.

Une rançon n'est jamais qu'une demande : entre l'écran qui menace et la décision finale, il y a un espace de négociation, de vérification et de sang-froid, à condition de ne pas s'y engager seul.

Questions fréquentes

Faut-il payer une rançon de ransomware ?+

La doctrine officielle française, portée par l'ANSSI, est de ne pas payer : le paiement ne garantit ni le déchiffrement ni la non-divulgation des données, et il finance la criminalité. Dans les faits, la décision relève d'un arbitrage de survie. Elle ne doit jamais être prise seul ni dans la précipitation, mais après avoir gagné du temps, vérifié la menace et coordonné avec les autorités.

Que se passe-t-il si on paie ?+

Rien n'est garanti. Payer n'assure pas de récupérer une clé fonctionnelle, ni que les données volées ne seront pas publiées ou revendues. Le paiement signale aussi que la victime est solvable, ce qui peut attirer de nouvelles attaques. C'est pourquoi les autorités le déconseillent, tout en reconnaissant que certaines entreprises s'y résolvent pour survivre.

Comment se déroule la négociation ?+

Elle est généralement menée par des négociateurs spécialisés, par écrit, via le canal imposé par les attaquants. Objectifs : gagner du temps pour évaluer l'attaque et restaurer les systèmes, vérifier la réalité de la menace (preuve de déchiffrement, preuve des données volées), faire baisser le montant, et recueillir du renseignement. La décision de payer reste celle de la direction, éclairée par les experts et les autorités.

Le paiement est-il légal en France ?+

Payer une rançon n'est pas en soi pénalement interdit pour la victime, mais c'est fortement déconseillé et cela peut soulever des questions juridiques (financement d'activités criminelles, sanctions si l'attaquant est listé). Depuis 2023, l'indemnisation d'une rançon par une assurance est encadrée et conditionnée au dépôt d'une plainte. Il faut toujours consulter un conseil et les autorités.

Comment se préparer à une cyber-extorsion ?+

En amont : sauvegardes hors ligne testées, plan de réponse à incident, cartographie des données sensibles, et une cellule de crise identifiée incluant la dimension négociation. Le jour J : ne pas payer dans la panique, isoler sans éteindre, alerter l'ANSSI et déposer plainte, et faire appel à des négociateurs et experts en réponse à incident.

Cyrille Cardonne

Président Fondateur · Arkane · Négociateur de crise certifié

Officier supérieur de gendarmerie, Légion Étrangère Parachutiste, ancien des services de renseignement et de cabinets ministériels, certifié IHEMI (Institut des Hautes Études du Ministère de l'Intérieur), titulaire du certificat INSEAD « Leadership in the Crisis », membre du Cercle K2 et du CRSI, formateur à l'EM Strasbourg Business School en négociation de crise.