Faut-il payer la rançon en cas de ransomware ?

Le paiement n'est pas recommandé : il ne garantit pas la récupération des données, finance les groupes criminels, et peut exposer l'entreprise à des sanctions si le groupe est sous embargo. L'ANSSI déconseille formellement le paiement. Contactez un expert avant toute décision.

Que faire en premier si mon entreprise est victime d'un ransomware ?

Isoler immédiatement les machines chiffrées du réseau sans les éteindre, désactiver les partages réseau, changer les mots de passe des comptes administrateurs depuis une machine saine, et contacter un expert en réponse à incident. Ne pas redémarrer les serveurs touchés.

Combien de temps dure une intervention ransomware ?

Une intervention type dure entre 10 et 25 heures selon la complexité : investigation forensique, éradication du malware, restauration des données depuis les sauvegardes, vérification de l'absence de backdoor résiduelle. Le forfait CyberUrgence pour ransomware est de 1 000 à 2 500 €.

Les données chiffrées par un ransomware sont-elles récupérables ?

Cela dépend du variant de ransomware et de l'état des sauvegardes. Certains variants ont des failles dans leur chiffrement qui permettent une récupération sans payer. Dans tous les cas, des sauvegardes hors-ligne récentes sont la seule garantie absolue de récupération.

Dois-je notifier la CNIL si mon entreprise est victime d'un ransomware ?

Oui, si des données personnelles ont été exposées ou exfiltrées. L'obligation de notification à la CNIL (article 33 RGPD) s'applique dans les 72 heures suivant la prise de connaissance. La notification à la CNIL ne préjuge pas d'une sanction — l'absence de notification, si.

Réponse aux incidentsRansomware10 min de lecture

GUIDE OPÉRATIONNEL · ÉDITION 2026

Ransomware.
Les 72 premières heures.

Le chiffrement vient de tomber. Certains écrans affichent la note, d'autres sont juste noirs. Ce guide décrit ce qu'on fait concrètement, dans quel ordre, et pourquoi les premiers réflexes comme éteindre les machines ou tout sauvegarder en urgence font souvent plus de mal que de bien.

24 joursdwell time moyen avant détonation

78%des victimes qui paient subissent une 2ᵉ attaque

7 000+clés récupérées sur LockBit seul

ANATOMIE D'UNE ATTAQUE

Ce qui se passe sous le capot

Quand la note s'affiche à l'écran, ça fait déjà plusieurs semaines que c'est fini. Trois semaines en moyenne, parfois un mois. Pendant tout ce temps, le ransomware a cartographié les partages réseau, supprimé les VSS et exfiltré les fichiers qui l'intéressaient. Le chiffrement, c'est juste le moment où l'attaquant décide de se montrer.

Propagation en cours — simulation réseau

Actif nominalChiffré

█ YOUR FILES ARE ENCRYPTED

All your important files have been encrypted. Do not try to recover them using third-party software — it may damage them permanently. To restore access, visit our onion site within 72 hours.

RANSOM: $280,000 USD in Bitcoin

⚠ Simulation à titre illustratif uniquement

⚡

À ce moment-là, l'attaquant est probablement dans vos systèmes depuis 3 à 4 semaines. Vos données sont déjà parties.C'est le principe de la double extorsion : payer ou non, les fichiers peuvent être publiés de toute façon.

CHRONOLOGIE

Les phases de réponse

T+0

Découverte

T+15min

Isolation

T+1h

Analyse

T+24h

Décision

T+72h

Restauration

T+Semaines

Retour normal

T+0 → T+15MIN

Isoler. Pas éteindre.

Tout le monde veut éteindre les machines. C'est humain, mais c'est une erreur. La mémoire vive contient des artefacts qui disparaissent au redémarrage : clés de chiffrement, processus en cours, connexions réseau ouvertes. Ce qu'il faut couper, c'est le câble réseau. Les machines, on les laisse allumées.

À FAIRE IMMÉDIATEMENT

Débrancher le câble réseau (ou désactiver le WiFi) de chaque machine

Photographier les écrans : notes de rançon, extensions de fichiers chiffrés, horodatages

Faire l'inventaire rapide : quels systèmes fonctionnent encore

Ne PAS redémarrer, ne PAS éteindre les machines actives

Isoler physiquement les sauvegardes si elles sont encore connectées

Appeler un expert IR. Pas votre DSI, pas votre prestataire informatique habituel.

À NE JAMAIS FAIRE

✗Éteindre ou redémarrer les serveurs infectés

✗Supprimer les fichiers chiffrés ou les notes de rançon

✗Payer avant d'avoir identifié la souche

✗Communiquer sur les réseaux sociaux ou aux médias

✗Utiliser un outil de déchiffrement trouvé en ligne sans le vérifier d'abord

✗Connecter de nouveaux appareils au réseau compromis

💡

Les VSS sont probablement déjà partis. Les ransomwares modernes lancent vssadmin delete shadows /all /quiet au démarrage, avant même de commencer à chiffrer. Vos Shadow Copies sont effacées en quelques secondes.

T+1H → T+6H

Identifier la souche avant tout

Toutes les souches ne se valent pas. Certaines ont des failles cryptographiques connues. D'autres ont leurs clés quelque part sur NoMoreRansom, récupérées lors d'opérations de démantèlement. Identifier la variante change l'ensemble de la stratégie de réponse, y compris la question du paiement.

ID Ransomware

id-ransomware.malwarehunterteam.com

Un fichier chiffré ou la note de rançon suffit. La base identifie plus de 1 000 souches. Résultat immédiat.

NoMoreRansom.org

nomoreransom.org

Projet Europol/ANSSI/Interpol. C'est ici qu'on cherche d'abord : si un déchiffreur gratuit existe pour votre souche, il y est. Avant de payer quoi que ce soit.

Cybermalveillance.gouv.fr

cybermalveillance.gouv.fr

La plateforme nationale. Pour signaler, trouver un prestataire PRIS labellisé, et consulter les fiches techniques par type d'attaque.

L'analyse forensique (artefacts disque, logs réseau, timeline d'exécution) c'est le travail de l'expert. Pas du DSI, pas du prestataire informatique habituel. L'objectif est de remonter jusqu'au point d'entrée, d'estimer depuis combien de temps l'attaquant était là, d'inventorier ce qui a été exfiltré, et surtout de vérifier qu'il n'a pas laissé une backdoor derrière lui.

T+6H → T+24H

La décision qui engage tout

Tout le monde commence par demander « est-ce qu'on paie ? ». C'est une mauvaise façon d'entrer dans le problème. La vraie question, c'est : peut-on reprendre l'activité sans payer ? La réponse dépend de l'état des sauvegardes, de la souche identifiée et de ce que l'analyse forensique a révélé sur l'étendue des dégâts. Quand les trois sont dans le rouge, la conversation prend une autre tournure.

Sauvegardes air-gap intactes ?

OUI

Ne payez pas. Restaurez depuis les sauvegardes. Comptez 2–10 jours selon le volume.

⚠ Valider que l'attaquant n'est plus présent avant reconnexion

NON

Déchiffreur gratuit disponible sur NoMoreRansom ?

OUI

Ne payez pas. Déchiffrement gratuit disponible. Vérifier l'intégrité des fichiers après.

NON

Pas de réponse simple. Expert, avocat, assureur : dans cet ordre.

Arguments pour le paiement

+ Seule option si aucune sauvegarde exploitable

+ Restauration potentiellement plus rapide qu'une reconstruction from scratch

+ Peut stopper la menace de publication, sans garantie

+ Certains groupes fournissent effectivement les clés

Arguments contre le paiement

– Aucune garantie de récupération des données

– 78% des victimes payantes sont rattaquées dans l'année

– Finance et professionnalise les groupes criminels

– Illégal si le groupe est sous sanctions OFAC

– Des saisies judiciaires peuvent libérer les clés des mois plus tard, gratuitement

⚖️

En France, depuis la loi du 24 janvier 2023, les assureurs ne peuvent rembourser une rançon que si vous avez déposé plainte au préalable. Déposer plainte ne vous oblige pas à poursuivre. Mais sans ça, votre assureur ne remboursera rien.

T+72H → SEMAINES

Restaurer sans réintroduire l'attaquant

L'erreur qu'on voit revenir à chaque intervention, c'est la précipitation. Les sauvegardes remontent, tout le monde est soulagé, et on rebranche au plus vite. Sauf qu'un système restauré non validé, rebranché trop tôt, c'est donner à l'attaquant exactement le même accès qu'avant. Chaque machine doit être vérifiée individuellement avant de toucher au réseau principal.

Construire un environnement de récupération isolé

Monter un VLAN dédié ou un réseau physiquement séparé. Les systèmes restaurés n'ont pas accès au réseau principal avant validation.

Prioriser les systèmes critiques

Active Directory d'abord. Sans lui, rien d'autre ne fonctionne. Ensuite la messagerie, l'ERP, les systèmes de production.

Valider chaque système avant reconnexion

AV à jour, analyse des logs, vérification des tâches planifiées et des clés de registre. Chercher les backdoors, surtout dans les comptes de service.

Réinitialiser toutes les credentials

Tous les comptes, y compris les comptes de service. Supposez que les hashes NTLM ont été dumpés. MFA partout, sans exception.

PERSPECTIVE LONG TERME

Tout n'est pas perdu, parfois des mois plus tard

Il y a quelque chose que la plupart des victimes ne savent pas. Quand le FBI ou Europol démantèle un groupe ransomware, ils récupèrent les clés privées stockées sur les serveurs du groupe. Ces clés fonctionnent aussi pour les victimes attaquées des mois avant l'opération. Donc même quand tout semble perdu, garder une copie des données chiffrées sur un disque froid hors ligne peut valoir le coup. L'espoir peut arriver bien plus tard.

🔑

Si vous n'avez pas d'autre option : gardez une copie de vos données chiffrées sur un stockage froid, hors réseau. Consultez NoMoreRansom de temps en temps. Des entreprises attaquées en 2021 ont récupéré leurs fichiers en 2023, après la saisie de Hive par le FBI.

🏛️

Hive

Janvier 2023 · FBI / Europol

SAISIE

Le FBI était dans l'infrastructure de Hive depuis juillet 2022, soit sept mois avant d'en parler. Durant cette période, il a passé discrètement les clés à plus de 300 victimes, pour 130 millions de dollars de rançons évités. Après l'annonce, des milliers de clés supplémentaires ont été publiées.

⚖️

ALPHV / BlackCat

Décembre 2023 · FBI / DOJ

SAISIE

Après la saisie, le FBI a développé un outil de déchiffrement. Plus de 500 victimes ont récupéré leurs données sans payer. Le groupe a tenté un redémarrage sous le nom RansomHub, ce qui confirme que les serveurs centraux avaient bien été touchés.

🔑

LockBit 3.0

Février 2024 · NCA / FBI / Europol (Op. Cronos)

SAISIE

Opération Cronos : 11 pays coordonnés, 2 arrestations, gel d'avoirs. Le portail LockBit a été remplacé par une page Europol. 7 000 clés récupérées. Le DOJ a identifié publiquement le leader, ce qui reste inhabituel pour ce type d'opération.

🌍

Ragnar Locker

Octobre 2023 · Europol / CERT-FR / FBI

SAISIE

11 pays coordonnés. Le développeur principal arrêté à Paris. Les serveurs de négociation et de fuite de données saisis simultanément dans 5 pays. Clés disponibles sur NoMoreRansom.

C'est une méthode qui revient. Les agences s'introduisent dans l'infrastructure, collectent les clés pendant des mois sans rien dire, et déclenchent l'opération quand elles sont prêtes. Pendant cette phase, certaines victimes reçoivent leurs clés de déchiffrement sans vraiment comprendre d'où ça vient. Le cas le plus documenté reste Hive : le FBI était dans leur réseau depuis juillet 2022, distribuait des clés en silence, et n'a annoncé le démantèlement qu'en janvier 2023.

OBLIGATIONS

Ce que la loi vous impose

72h

Notifier la CNIL

Si des données personnelles sont concernées. Le délai de 72h démarre quand vous avez connaissance de l'incident, pas une fois que c'est résolu. En cas de doute, notifiez tôt. Une notification préventive est toujours plus facile à défendre.

Immédiat

Déposer plainte — BL2CN

BL2CN à Paris ou le commissariat/gendarmerie local. Obligatoire depuis janvier 2023 pour que l'assurance cyber s'active. Gardez une copie du récépissé.

Dès que possible

Déclarer à votre assureur

Relisez votre contrat avant tout. Les délais de déclaration varient de 24h à 5 jours selon les polices. Un retard peut suffire à invalider la prise en charge. L'assureur peut aussi imposer son propre expert forensique, ce qui crée parfois des frictions avec celui que vous avez déjà mandaté.

Diagnostic initial gratuit — un expert qualifie votre situation en quelques minutes et évalue la criticité. Vous ne payez que si vous décidez de poursuivre.

Diagnostic gratuit

← Tous les guides

Ce qui se passe sous le capot

Les phases de réponse

Isoler. Pas éteindre.

Identifier la souche avant tout

La décision qui engage tout

Restaurer sans réintroduire l'attaquant

Tout n'est pas perdu, parfois des mois plus tard

Ce que la loi vous impose

Vous faites face à une cyberattaque ?