Ransomware : payer ou pas ? Guide PME 2026 (CNIL, ANSSI, assurance)
# Ransomware : payer ou pas ? Guide de décision PME (2026)
Vous découvrez lundi matin qu'un ransomware a chiffré l'ensemble de votre système d'information. Vos serveurs, vos sauvegardes accessibles, vos postes. Un message annonce une rançon à payer sous 72 heures — sinon vos données seront publiées. Que faire ?
Cette décision, aucune PME ne devrait avoir à la prendre à froid. Voici les cinq questions qui structurent le choix, la position officielle des autorités françaises, et ce que votre assureur cyber attend concrètement de vous.
TL;DR — Position des autorités et bonne pratique 2026
- ANSSI et gendarmerie nationale : ne pas payer, par principe
- Le paiement n'est pas illégal en France (contrairement à l'Australie ou certains États US en 2025)
- Une déclaration à Tracfin peut être exigée si le paiement transite par crypto-actifs
- Notification CNIL sous 72 heures obligatoire si données personnelles compromises (RGPD art. 33)
- Signalement Cybermalveillance.gouv.fr + plainte recommandés dans tous les cas
- L'assurance cyber peut refuser le remboursement si vous payez sans validation préalable
- Statistique clé : 60 % des victimes qui paient subissent une seconde attaque dans les 12 mois (source Sophos State of Ransomware 2025)
Question 1 — Avez-vous une sauvegarde saine, testée, restaurable ?
C'est la question. Si oui, la décision est simple : restaurer. Si non, tout se complique.
Pour être « saine », une sauvegarde doit être :
- Immuable (WORM) — l'attaquant n'a pas pu la chiffrer ni la supprimer
- Antérieure au dwell time de l'attaquant — le point de reprise ne contient pas les payloads déjà déposés
- Testée récemment — la restauration a été validée, pas seulement l'enregistrement
- Complète — postes, serveurs, VMs, boîtes M365, applications critiques
En 2025, une PME sur trois découvre au moment du sinistre que ses sauvegardes n'étaient pas immuables ou n'ont jamais été testées. Ce sont des cas où le paiement devient tentant faute d'alternative technique — et où l'attaquant a bien préparé son levier de négociation.
→ Comment mettre en place une sauvegarde 3-2-1-1-0 immuable
Question 2 — Vos données personnelles ont-elles été exfiltrées ?
Les groupes de ransomware modernes pratiquent la double extorsion : chiffrement + exfiltration. Ils menacent de publier les données volées sur des sites de fuite (« leak sites ») si la rançon n'est pas payée. Cette pratique concerne plus de 80 % des cas en 2025 (source CrowdStrike Global Threat Report 2025).
Ce qui change pour vous :
- RGPD article 33 : notification CNIL sous 72 heures obligatoire
- RGPD article 34 : information individuelle des personnes concernées si risque élevé
- Impact réputation : les leak sites sont indexés par Google
- Impact contractuel : vos clients B2B peuvent invoquer des clauses de résiliation si leurs propres données sont fuitées
Payer la rançon ne garantit rien sur l'exfiltration : les attaquants gardent souvent une copie « pour plus tard ». Les autorités françaises le rappellent systématiquement.
Question 3 — Quelle est la position de votre assurance cyber ?
Depuis la circulaire ministérielle de mai 2023 et l'article L12-10-1 du Code des assurances (loi LOPMI de janvier 2023), les assureurs cyber en France peuvent couvrir le paiement d'une rançon sous conditions strictes :
- Dépôt de plainte dans les 72 heures après le paiement (condition légale)
- Validation préalable de l'assureur avant paiement (condition contractuelle habituelle)
- Justificatif de tentative de restauration ou preuve d'impossibilité technique
- Aucun paiement à une entité sanctionnée (US OFAC, UE, ONU)
Vérifiez votre contrat AVANT l'incident. Nombreuses PME découvrent au moment du sinistre que leur police exclut le paiement de rançon, ou impose des délais de validation incompatibles avec l'urgence.
Question 4 — Payer garantit-il la restauration ?
Non. Les statistiques 2025 montrent que :
- 32 % des victimes qui paient ne récupèrent pas leurs données (déchiffreur défaillant, incomplet ou refusé)
- 60 % subissent une seconde attaque dans les 12 mois (les groupes de ransomware revendent les accès)
- Le paiement augmente les délais de reprise (11 jours en moyenne pour valider un déchiffreur, tester, restaurer)
- Le déchiffrement d'un ransomware moderne est plus lent qu'une restauration depuis sauvegarde saine (15 à 40 Go/heure)
Payer, dans les faits, ne raccourcit pas la crise. Cela ajoute simplement une facture au bilan.
Question 5 — Qui contacter en priorité, dans quel ordre ?
Chronologie type des 24 premières heures :
H+0 à H+1 : constat de l'incident
- Isoler les machines infectées (couper le réseau, ne pas éteindre — la RAM est utile au forensic)
- Activer votre cellule de crise (DSI, direction, DPO, communication, RH)
- Ne rien communiquer publiquement sans concertation
H+1 à H+4 : cadrage et notifications techniques
- Contacter votre prestataire cybersécurité ou votre équipe de réponse (CSIRT). Si vous n'en avez pas : Cybermalveillance.gouv.fr oriente vers un prestataire référencé en moins de 4 heures
- Contacter votre assureur cyber — cellule de crise dédiée souvent 24/7
- Notifier votre hébergeur cloud si des ressources cloud sont touchées
H+4 à H+24 : notifications légales
- CNIL sous 72 heures si données personnelles concernées (via téléservice notifications.cnil.fr)
- Dépôt de plainte dans le commissariat ou brigade cybercriminalité (indispensable pour l'assurance)
- CSIRT-FR / ANSSI pour les entités NIS2 ou secteurs critiques
- Clients et fournisseurs impactés — communication maîtrisée par la cellule de crise
→ Que faire dans les 24 premières heures — checklist chronologique
Position officielle synthétisée
ANSSI (Agence nationale de la sécurité des systèmes d'information) : ne pas payer, dans tous les cas. Le paiement finance les groupes criminels et n'apporte aucune garantie.
Cybermalveillance.gouv.fr (GIP ACYMA) : signalement systématique via la plateforme officielle. Orientation vers un prestataire référencé pour la remédiation.
CNIL : la notification sous 72 heures est indépendante du choix de payer ou non. L'absence de notification est sanctionnée plus sévèrement que la fuite elle-même.
Assureurs cyber (via FFA — Fédération Française de l'Assurance) : depuis 2024, la couverture rançon nécessite le respect strict de la procédure LOPMI (dépôt de plainte sous 72h + conditions contractuelles).
Conclusion — la meilleure décision se prépare à froid
La seule façon de ne pas avoir à choisir entre payer et perdre est de rendre le choix inutile en amont :
- Une sauvegarde 3-2-1-1-0 immuable, testée, hébergée en France hors Cloud Act
- Un EDR/XDR managé avec SOC 24/7 pour détecter et confiner avant chiffrement massif
- Une sensibilisation phishing continue pour bloquer 90 % des vecteurs d'entrée
- Une assurance cyber dont vous connaissez les conditions avant l'incident
- Un plan de réponse à incident documenté et testé annuellement (obligation NIS2)
L'audit cybersécurité offert par notre équipe vous donne, en 30 minutes, un état des lieux clair de votre exposition et de vos angles morts — sans engagement.
---
Pour aller plus loin :
- 🔍 Audit cybersécurité gratuit (30 min, plan sous 48h)
- 🛡️ Suite Cybersécurité 1A — EDR + SOC 24/7
- 💾 Sauvegarde sécurisée souveraine anti-ransomware
- ✉️ Protection email — anti-phishing IA
À lire aussi :