Newsletters

Magazines

Enquête

Négocier face aux rançongiciels, une pratique controversée mais plus répandue qu'on ne le croit

Démunies lorsque leurs systèmes informatiques sont paralysés par un rançongiciel, certaines entreprises se tournent vers des sociétés expertes en gestion de crise, chargées de négocier avec les cybercriminels. Un marché en plein essor, mais qui suscite de vives critiques.

Valentin Hamon-Beugin
Réservé aux abonnés
Rançongiciel
Michael Geiger
Lorsqu'ils reçoivent une rançon, les hackers ne sont jamais contraints de rétablir les systèmes informatiques de leur victime.

Selon les informations révélées jeudi 27 janvier par un ingénieur en intelligence artificielle, le ministère de la Justice serait actuellement victime d'un dangereux rançongiciel. Une attaque qui prouve à elle seule l'inquiétant essor de ce type de cyberattaque. Une étude publiée fin novembre par le ministère de l'Intérieur révélait d'ailleurs déjà que les plaintes françaises liées à des rançongiciels avaient augmenté de 32% entre 2019 et 2020.

Après avoir été contraintes de s'adapter dans l'urgence avec la pandémie de Covid-19, les institutions et les entreprises subissent de plein fouet le revers de la digitalisation massive de notre société, une aubaine pour les hackers malintentionnés. Aux Etats-Unis, plusieurs attaques par rançongiciel ont même fait les gros titres ces derniers mois, en raison des conséquences parfois désastreuses pour une partie de la population.

S'ils rechignent à financer la cybercriminalité, certains groupes font malgré tout le choix de céder au chantage des pirates. L'exploitant d'oléoducs américain Colonial Pipeline a admis avoir versé 4,4 millions de dollars (environ 3,9 millions d'euros) afin de restaurer ses systèmes informatiques au plus vite. Par peur de commettre un impair lors de leurs échanges avec les hackers, ou par désir de faire baisser le montant réclamé, de plus en plus d'entreprises font appel à des négociateurs professionnels.

Gérer le stress

Notre premier réflexe, c'est de demander à l'entreprise de ne pas payer la rançon

—  David Corona

« Notre premier réflexe, c'est de demander à l'entreprise de ne pas payer la rançon, de ne pas céder à la pression de l'ultimatum », assure d'emblée David Corona, cofondateur de la société In_Cognita. Cet ancien du GIGN, qui a notamment été mobilisé lors des attentats de Charlie Hebdo, tente tout d'abord d'atténuer l'affolement des dirigeants qui le contactent, parfois désespérés face aux perspectives de pertes financières colossales. « Dans la panique, certaines décisions sont délétères et il est difficile de les rattraper par la suite », explique son bras droit, l'hypnothérapeuthe Anne-Gervaise Vendange.

Très rapidement, une question primordiale arrive sur la table : va-t-on contacter les autorités ? Marwan Mery, à la tête d'ADN Group, conseille immédiatement à ses clients de prévenir l'Agence nationale de la sécurité des systèmes d'information (Anssi), mais tous ne suivent pas son conseil. « En réalité, l'Anssi ne leur vient pas forcément en aide », prétend cet expert en négociation, sollicité à sept reprises cette année pour des cas d'attaque par rançongiciel.

Une pêche miraculeuse

Ensuite, il convient de vérifier que le réseau de l'entreprise a effectivement été compromis, ou que la clé de déchiffrement du rançongiciel utilisée n'est pas déjà connue. Certains pirates parviennent à faire illusion, et persuadent les dirigeants de payer alors que la menace n'est pas réelle. « Il s'agit d'un genre de pêche miraculeuse, explique Marwan Mery. Notre rôle est de faire le tri pour savoir si cela vaut vraiment la peine d'entrer en négociation ». Une fois le danger avéré et que l'aval du PDG a été recueilli, la discussion avec les cybercriminels peut débuter.

Si certains échanges ont lieu par téléphone ou par WhatsApp, la très grande majorité des hackers préfèrent passer par les mails, afin de minimiser les risques de se faire attraper. « Avec ce canal, on perd en profondeur, c'est plus difficile de jouer sur l'empathie, reconnaît David Corona. Mais l'avantage, c'est qu'on est préservés, on peut se lever et jeter sa chaise sans qu'il y ait d'incidence sur la suite ».

Des attaques organisées

Niveau de langage, réactivité, horaire de la réponse... Bien qu'ils ne disposent que de très peu d'éléments, les négociateurs analysent chaque détail pour dresser un portrait-type de leurs interlocuteurs, puis ajustent leur tactique en conséquence afin d'espérer induire le changement dans leur esprit. Une tâche ardue, car les personnes qui lancent des rançongiciels sont de plus en plus organisées. « Il y autant de profils que de pirates. Le mythe de l'étudiant à capuche qui attaque depuis sa cave devient marginal, affirme Julien Pélabère, de l'Institut Nera. On se retrouve majoritairement face à des hackers des pays de l'Est, des businessmen qui veulent juste être payés ».

En cherchant à mieux connaître les hackers, ces experts permettent aux équipes cyber de la société visée de gagner du temps. Celles-ci peuvent alors tenter de récupérer d'anciennes sauvegardes ou de colmater les failles informatiques, ce qui s'avère parfois suffisant pour résoudre la crise. L'Institut Nera a noué un partenariat avec la filiale cybersécurité du groupe de conseil Maltem, dans le but d'allier systématiquement la négociation à la technologie. « Le raisonnement est le même que pour un kidnappage classique, détaille Julien Pélabère. Tout miser sur l'intervention représente un risque pour la vie de l'otage, mais se contenter des négociateurs n'aurait pas plus de sens ».

L'Anssi sceptique

Sommes-nous prêts à sacrifier une victime sur l'autel de la lutte ?

—  Marwan Mery

Les conseils avisés des spécialistes des situations d'urgence sont-ils suffisants pour mettre en déroute les cybercriminels ? Marwan Mery raconte qu'il a déjà par deux fois réussi à pousser les attaquants à rétablir les systèmes informatiques de ses clients, sans aucune contrepartie, en jouant simplement sur la culpabilisation. « Lorsqu'on fait malgré tout un versement, on est à peu près sur 10% de la demande initiale », garantit-il. David Corona certifie de son côté que parmi les entreprises qui sollicitent ses services, à peine une sur dix finit par payer, quand Julien Pélabère préfère « ne pas communiquer sur ce sujet ».

Les négociateurs savent pertinemment qu'en laissant leurs clients agir de la sorte, ils ne respectent pas les préconisations de l'Anssi. Celle-ci recommande aux entreprises de ne pas jamais payer les rançons exigées, même partiellement. Son directeur général Guillaume Poupard a déjà accusé les « intermédiaires » de tirer « un bénéfice malsain du paiement des rançons ». « C'est très compliqué d'avoir une vision manichéenne, tempère le fondateur d'ADN Group en rappelant que sa rémunération sur ce type d'affaire ne dépend pas des pertes qu'il peut éviter à son client. Payer les cybercriminels alimente bien sûr le système. Mais sommes-nous prêts à sacrifier une victime sur l'autel de la lutte ? ».

Aucune garantie

Pour Jérôme Saiz, expert en cybersécurité et en gestion de crise pour Opfor Intelligence, il est rarement question de vie ou de mort. « Au-delà des pertes financières, certaines entreprises cèdent parce qu'elles ont peur que les hackers dévoilent des données compromettantes, des activités illégales », explique-t-il. Sceptique par rapport aux solutions proposées par les sociétés de négociateurs, il partage la position de l'Anssi, et ce pour de multiples raisons.

Tout d'abord, rappelle-t-il, les pirates n'ont aucune obligation de débloquer le réseau de l'entreprise ciblée une fois l'argent transféré. Certains peuvent décider de rétablir les données pendant un temps, puis de tout paralyser à nouveau afin de réclamer une somme plus importante. Jérôme Saiz conseille aux victimes qu'il accompagne de concentrer leurs efforts sur l'origine de l'attaque (faille informatique, phishing...) afin de ne pas se retrouver dans une situation similaire par la suite.

Investir dans la cybersécurité

Verser des rançons aux pirates revient à financer le terrorisme, le trafic d'armes, de drogues et d'êtres humains

—  Jérôme Saiz

L'expert invoque ensuite tout le volet éthique qu'il faut prendre en considération avant une telle décision : « La porosité de la cybercriminalité avec la criminalité a été démontrée. Verser des rançons aux pirates revient à financer le terrorisme, le trafic d'armes, de drogues et d'êtres humains ». D'autant qu'il ne s'agit pas de sommes négligeables, mais d'une rentrée d'argent colossale. Selon le Trésor américain, environ 400 millions de dollars de rançons ont été versés aux Etats-Unis au premier semestre 2021. Un chiffre en constante augmentation. Julien Pélabère constate que les entreprises françaises ont tendance à payer trop facilement, « car elles sont prêtes à choisir la solution de facilité pour obtenir la paix sociale ».

En l'absence de législation claire sur le sujet, le recours aux négociateurs de rançongiciels pourrait se généraliser. « On ne fait pas particulièrement en sorte d'être présents sur ce marché, reprend le fondateur de l'Institut Nera. On est là parce que les gens ont besoin de nous ». Les cybercriminels ne devraient pas abandonner de sitôt ce type d'attaque, peu risquée et extrêmement rentable. Pour assécher cette source, Jérôme Saiz reconnaît qu'il va falloir passer à la vitesse supérieure : « Il y a encore une dissonance entre la prise de conscience de l'ampleur des menaces et le fait d'accepter de financer un budget cyber conséquent ». Un investissement pourtant nécessaire, et non-négociable.

À lire aussi

Les plus lus : Cybersécurité
  1. La compagnie aérienne russe Aeroflot visée par une cyberattaque revendiquée par des hackers pro-ukrainiens
  2. Des menaces croissantes sur la base industrielle de défense française : l'alerte de la DRSD
  3. Cybersécurité : Avec MindHead, Safran facilite la vérification du respect des normes
  4. Le salon du Bourget, un nid d'espions ? L'édition 2025 placée sous haute surveillance
  5. Orange et Toshiba dotent la région parisienne du premier réseau quantique sécurisé de France
  6. Le secteur spatial, caisse de résonnance des tensions géopolitiques mondiales
Newsletter La Quotidienne
Nos journalistes sélectionnent pour vous les articles essentiels de votre secteur.
Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes…
Ils recrutent des talents
Emploi industrie
Contrôleur de Sécurité Industrie H/F Secteur Sud de la Mayenne et Nord-Ouest du Maine et Loire
CARSAT PAYS DE LA LOIRE - 19/03/2026 - CDI - LAVAL
Automaticien de tests (F/H)
Thélem assurances - 20/03/2026 - CDI - CHECY
Tous les postes disponibles
Les webinars
Tout voir
Industrie
Travail connecté : relever les défis quotidiens des opérations industrielles
10 juin 2026 - 09h00
45 min
4 inscrit(s)
Contenu proposé par Poka
S’inscrire au webinar
Industrie
Exploiter tout le potentiel des données d'essais chez Safran Transmission Systems
16 avril 2026 - 12h00
45 min
89 inscrit(s)
Voir le replay
Financer l'industrie autrement : la dette privée au service du tissu productif et des investisseurs institutionnels
10 avril 2026 - 07h45
90 min
155 inscrit(s)
Contenu proposé par Les rédactions de l'Argus & L'Usine Nouvelle
Voir le replay
Les services L'Usine Nouvelle
Détectez vos opportunités d’affaires
45 - DEV'UP CENTRE VAL DE LOIRE
Réalisation des stands d'animation autour de la marque Du Centre - salons gastronomiques grand public
Date de réponse 27/05/2026
+ 10 000 avis par jour
Tout voir
Trouvez des produits et des fournisseurs
Publiscopies : aéronautique
Les cabines de peinture les plus économiques à l’exploitation
EUROPA
+ 240 000 produits
Tout voir