Faut-il payer la rançon ? Réflexions du gouvernement sur la possibilité de payer pour échapper à la cybercriminalité

Par Dan Raywood • 3 mars 2026

L'année écoulée a été marquée par deux propositions législatives britanniques portant sur la question des rançons versées par les entreprises du Royaume-Uni aux victimes de logiciels malveillants. Cette attention portée par le gouvernement britannique pourrait indiquer une volonté d'interdire ces paiements ou de placer les entreprises face à des choix difficiles. Dan Raywood analyse la situation en détail.

L'année dernière, le gouvernement britannique a lancé une campagne de répression contre les cybercriminels. législation proposée Cela rendrait illégal le paiement de rançons pour certains secteurs. Plus précisément, les organismes du secteur public et les exploitants d'infrastructures nationales critiques – notamment le NHS, les collectivités locales et les écoles – seraient interdits de payer les demandes de rançon. Les autres entreprises non concernées par cette interdiction seraient tenues d'informer le gouvernement de toute intention de paiement.

Le ministre de la Sécurité, Dan Jarvis, a déclaré que cette proposition visait à « anéantir le modèle économique des cybercriminels » et à protéger les services essentiels. En collaborant avec le secteur privé, a-t-il ajouté, « nous envoyons un signal clair : le Royaume-Uni est uni dans la lutte contre les rançongiciels ».

Cette consultation s'est déroulée sur 12 semaines (du 14 janvier au 8 avril 2025) et a proposé :

Une interdiction ciblée des paiements de rançon pour les infrastructures nationales critiques réglementées et le secteur public.
Un système de prévention des paiements de rançon.
Un régime de déclaration obligatoire des incidents.

Ces mesures constitueraient la première législation britannique spécifique conçue pour lutter contre les ransomwares, avec pour objectif principal de protéger les services publics et les infrastructures critiques contre les perturbations.

Crystal Morin, stratège principale en cybersécurité chez Sysdig, a déclaré que l'amélioration du signalement des incidents liés aux ransomwares n'est pas une réaction impulsive, mais un ajustement stratégique face à un paysage de menaces en constante évolution.

« Les incidents très médiatisés de l’année écoulée ont démontré comment les rançongiciels peuvent perturber les services essentiels et affecter la vie quotidienne », a-t-elle déclaré. « Ces événements montrent que les cyberattaques, aussi isolées qu’elles puissent paraître, représentent des risques réels pour la sécurité nationale et le bien-être public. »

Réponse positive

La consultante et spécialiste des politiques publiques Jen Ellis souligne la « réponse extrêmement positive » à la consultation gouvernementale concernant l'idée d'une interdiction. Elle suggère que cela s'explique en partie par le fait que les entreprises souhaitent pouvoir informer leurs clients qu'elles sont légalement dans l'incapacité de payer une rançon et qu'elles se conforment simplement à la loi.

Elle souligne également que certains pensent que les rançongiciels sont uniquement motivés par le profit et que la suppression de cette motivation financière suffira à faire disparaître ce crime. Or, cette vision néglige des facteurs tels que l'implication de groupes criminels organisés liés à des activités plus violentes, notamment le trafic d'êtres humains.

« Cela ne tient pas compte de l’ampleur des sommes en jeu ni du manque de mesures coercitives efficaces », explique Ellis. « Les agresseurs agissent en toute impunité et peuvent cibler les organisations les plus vulnérables à moindre coût. »

« Cela ignore également le fait que nous opérons sur un internet mondial. Une interdiction au Royaume-Uni ne protège pas les organisations contre les activités qui se déroulent ailleurs. »

Nouveau facteur

Alors que la consultation attend sa prochaine étape, un autre développement est survenu en octobre lorsque le député Bradley Thomas a présenté une projet de loi d'initiative parlementaire en 2025. Le projet de loi obligerait les entreprises répondant à des critères spécifiques à signaler au gouvernement toute tentative d'extorsion informatique ou attaque par rançongiciel dans un délai défini.

En présentant le projet de loi, Thomas a souligné qu'actuellement, aucune obligation n'est faite aux entreprises de déclarer le versement d'une rançon, malgré le fardeau financier que représentent de tels paiements. Sa proposition imposerait à toute entreprise immatriculée en vertu de la loi de 2006 sur les sociétés et dont le chiffre d'affaires annuel dépasse 25 millions de livres sterling – ou qui est responsable d'infrastructures nationales critiques – d'informer le gouvernement dans les 72 heures suivant le versement d'une rançon.

Un rapport complémentaire serait exigé si un paiement était effectué par l'entreprise ou par un tiers agissant pour son compte, et ce, dans un délai de 72 heures. Thomas a reconnu les risques d'atteinte à la réputation de l'entreprise, mais a assuré que des protections juridiques solides garantiraient la confidentialité des rapports, sauf si leur divulgation est jugée d'intérêt national.

« L’absence d’obligation de déclaration, notamment pour les paiements de rançon, crée une faille dangereuse dans notre sécurité nationale », a-t-il déclaré. « Lorsque les entreprises déclarent ces paiements, nos services de sécurité obtiennent des renseignements essentiels sur les cibles et l’évolution des attaques. »

Selon Morin, le signalement obligatoire n'a pas pour but de stigmatiser les organisations, mais de renforcer la défense collective. « Lorsque les organisations signalent les incidents, les équipes de sécurité obtiennent des informations précieuses sur les nouvelles tactiques et vulnérabilités, ce qui leur permet de réagir plus rapidement et de prévenir des dommages plus importants. »

Elle a ajouté que, si les craintes d'atteinte à la réputation sont compréhensibles, le cadre proposé prévoit des garanties pour limiter la divulgation aux cas exceptionnels. « Un système de signalement obligatoire, mais sans stigmatisation, tient compte de cette réalité. »

Dissuader les attaques de ransomware

Après avoir examiné les propositions, Ellis a déclaré à ISMS.online qu'elle ne pensait pas qu'une interdiction nationale des paiements dissuaderait significativement les attaques. « La plupart des victimes sont attaquées de manière opportuniste car elles sont connectées à Internet. Les infections sont inévitables. »

« Je ne pense pas qu'une interdiction des paiements soit efficace à moins d'être mondiale », a-t-elle déclaré. « Les pirates s'adapteront. »

Concernant le signalement, Ellis a déclaré que la clé résidait dans la normalisation de la transparence. « Il faut dédramatiser le signalement et mieux comprendre ce qui se passe. On ne peut y parvenir si personne ne signale les faits. »

« Les rapports ne résoudront pas le problème, mais ils nous donneront une meilleure idée de son ampleur réelle. »

Interrogée sur la question de savoir si les entreprises continueraient à payer secrètement en cas d'interdiction, Ellis a déclaré qu'il était difficile de le prédire. Elle a discuté avec des chefs d'entreprise qui estiment qu'ils n'auraient pas d'autre choix face à une menace existentielle.

Elle a également souligné l'impact potentiel sur l'assurance cyber. « Si le paiement est illégal, l'assurance ne le couvrira pas. Les assureurs devront alors prendre en charge les coûts de recouvrement, ce qui pourrait les inciter à exiger des mesures de résilience renforcées. »

Le projet de loi de Thomas devrait être examiné en deuxième lecture en mai, et les deux propositions visent à limiter les paiements de rançon. Cependant, pour les entreprises où le paiement semble être la seule option, les alternatives pourraient être limitées.

La recherche de Sophos Une étude menée en 2025 a révélé que près de 50 % des entreprises avaient payé une rançon pour récupérer leurs données. proposition vise à améliorer les normes de résilience des entreprises britanniques.

En définitive, la plupart des parties prenantes semblent favorables à l'obligation de déclaration, mais la question du paiement deviendra plus complexe dans un contexte de mandat légal. Il est temps pour les organisations de renforcer leur résilience et de décider si elles peuvent survivre sans payer pour se prémunir contre la cybercriminalité.

Dan Raywood

Dan Raywood écrit sur la sécurité informatique depuis 2008 et est un ancien analyste de la pratique de sécurité de l'information chez 451 Research. Il a pris la parole lors de salons tels que 44CON, SecuriTay, SteelCon, Irisscon et Infosecurity Europe, et a également écrit pour un certain nombre de blogs de fournisseurs et présenté des émissions sur le Web.

Lire la suite de Dan Raywood

La cyber-sécurité 30 septembre 2025

La violation de Grok créera-t-elle des problèmes de sécurité généraux ? Bannière

La violation de Grok va-t-elle créer des problèmes de sécurité pour GenAI ?

Un incident récent a soulevé des inquiétudes quant à la gestion des données par les outils GenAI. Est-il temps de vous assurer que vos données ne finissent pas dans leurs bases de données ?

Dan Raywood

La cyber-sécurité 29 mai 2025

Le cadre de cybersécurité et de confidentialité du NIST fait peau neuve

Cybersécurité et confidentialité : le cadre du NIST fait peau neuve

Le NIST a récemment annoncé son intention de moderniser son cadre de protection de la vie privée pour en faire une offre plus organique et moins statique. Cela profite-t-il aux praticiens ?

Dan Raywood

La cyber-sécurité 21 Janvier 2025

vulnérabilités zero day : comment se préparer à la bannière inattendue

Vulnérabilités zero-day : comment se préparer à l’inattendu ?

Les avertissements des agences mondiales de cybersécurité ont montré que les vulnérabilités sont souvent exploitées comme des failles zero-day. Face à un contexte aussi imprévisible…

Dan Raywood