Le mythe du paiement de la rançon, démonté

Quand un rançongiciel frappe, l'argumentaire en faveur du paiement est séduisant : versez l'argent, obtenez la clé, rétablissez le service, contenez la nouvelle. Cela ressemble au choix pragmatique qui minimise les coûts. Après une année de missions de réponse aux incidents, nous pouvons affirmer sans détour que ce tableau est un mythe sur tous les plans. Payer est rarement bon marché, rarement rapide et presque jamais discret.

Payer n'est pas bon marché

La rançon n'est que le montant d'ouverture. Au fil de nos missions, les organisations qui ont payé ont tout de même supporté la plupart des coûts qu'elles espéraient éviter — enquête, reconstruction de systèmes auxquels elles ne pouvaient plus se fier, interruption d'activité, frais juridiques et de notification — en plus du paiement lui-même. La clé de déchiffrement n'annule pas la violation ; elle ne fait, parfois, que déverrouiller des fichiers. Vous devez toujours partir du principe que l'attaquant a eu libre cours dans votre environnement et réagir en conséquence.

Payer n'est pas rapide

Les déchiffreurs fournis par les attaquants sont fréquemment lents, défaillants et incomplets. Nous avons vu une reprise via un déchiffreur acheté prendre plus de temps qu'une reprise à partir de sauvegardes saines, parce que l'outil traitait les fichiers avec lenteur, en corrompait certains et en ignorait silencieusement d'autres. Vous confiez la reprise à un logiciel écrit par les personnes qui viennent de vous attaquer.

• Certains fichiers ne se déchiffreront pas du tout.
• Les grands ensembles de données peuvent prendre des jours à traiter.
• La « clé » arrive parfois partielle, ou pas du tout.

Payer n'est pas discret

L'espoir que le paiement achète le silence tient rarement. De nombreux acteurs exfiltrent désormais les données avant de chiffrer et utilisent la menace de publication comme second levier — et payer une fois vous marque comme une organisation qui paie, ce qui invite à de nouvelles visites. Des obligations réglementaires de notification peuvent s'appliquer que vous ayez payé ou non, de sorte que l'incident ne reste pas privé simplement parce que les fichiers sont revenus.

Dans nos missions, les organisations qui ont récupéré le plus vite et au moindre coût étaient presque toujours celles qui n'ont jamais eu à négocier — parce qu'elles disposaient de sauvegardes testées, hors ligne, et d'un plan répété.

Le calcul honnête

Rien de tout cela ne vise à moraliser. Il existe de véritables cas limites — une clinique sans sauvegardes viables et des vies en jeu — où la décision est déchirante et légitime. Mais ce sont des exceptions, et même là, le paiement achète bien moins de certitude qu'on ne le suppose.

Le point stratégique est que la décision de payer se gagne ou se perd bien avant l'incident. Investissez dans des sauvegardes testées, segmentées et hors ligne ; répétez votre reprise ; et vous retirez le levier qui rend le paiement attrayant en premier lieu. La rançon la moins chère est celle que vous n'avez jamais à envisager.