Selon une récente enquête d’Absolute Security, plus d’un RSSI sur deux se dit prêt à payer une rançon afin de rétablir rapidement le fonctionnement de son entreprise face à une attaque par ransomware. Une tendance qui témoigne de l’intensification de cette menace dans les entreprises. « Les attaques se multiplient et continuent d'augmenter », a déclaré Christy Wyatt, CEO du fournisseur de solutions de sécurité Absolute Software, à l’origine de l’étude. « Les entreprises sont mieux préparées à y faire face : certaines formations portent leurs fruits et l'IA est d'une grande aide. Mais n'oubliez pas que les attaquants disposent de tous les outils dont disposent les défenseurs. »

Menée auprès de 750 RSSI aux États-Unis et au Royaume-Uni, l’enquête révèle que 58 % des répondants seraient prêts à payer pour mettre fin à un incident de ransomware. Une position qui va pourtant à l’encontre des recommandations des autorités en charge de la cybersécurité. « La position de longue date du gouvernement britannique, en collaboration avec ses partenaires des forces de l'ordre, est qu'il n'encourage pas, n'approuve pas et ne tolère pas le paiement des rançons exigées », a rappelé une porte-parole du National Cyber Security Centre. Le FBI déconseille lui aussi de céder aux exigences des cybercriminels, estimant que ces paiements alimentent l’économie du ransomware et favorisent les attaques. Les autorités rappellent également qu’aucune garantie n’existe quant à la récupération effective des données après le versement d’une rançon.

Payer ne garantit pas de récupérer ses données

Compte tenu des risques et de la désapprobation des forces de l'ordre, combien de ces RSSI qui se disent prêts à payer le feraient réellement si l'occasion se présentait ? Il est difficile d'obtenir des statistiques fiables en raison de la stigmatisation perçue, mais les données suggèrent qu'un nombre important d'entre eux le font. Parmi les entreprises touchées par un ransomware, 37 % ont payé la rançon, selon une enquête IDC réalisée l'année dernière, mais David Clemente, directeur de recherche chez IDC pour les services de sécurité, soupçonne que cette proportion est plus élevée. « Je suis sûr qu'il y en a beaucoup d'autres qui ont payé mais qui ne veulent pas le dire ouvertement », a-t-il déclaré. Mais cela ne s’est pas arrêté là pour tous ceux qui ont payé la rançon : environ 5 % d’entre eux ont constaté que « le déchiffrement était incomplet », selon le cabinet d’études.

Une enquête réalisée fin 2025 par l’assureur Hiscox a révélé que seules 60 % des PME ayant payé une rançon ont réussi à récupérer tout ou partie de leurs données. Christy Wyatt, a mis en garde : « Vous récupérerez peut-être vos données, ou peut-être pas. » Et si vous les récupérez, cela ne signifie pas que vous êtes le seul à les posséder : « Nous avons entendu parler de cas où des entreprises ont payé et se sont rendu compte que leurs identifiants étaient partagés », a-t-elle déclaré.

Le cas Marks & Spencer relance le débat

IDC s’est penché sur la question et a constaté que les entreprises qui avaient anticipé ce type d’attaque étaient davantage capables d’y résister, mais non sans conséquences. « Environ 29 % des entreprises ont pu récupérer les fichiers chiffrés à partir de sauvegardes », explique David Clemente. « Cependant, 33 % des entreprises qui n’ont pas payé ont constaté qu’elles ne pouvaient rien récupérer du tout. » Le distributeur britannique Marks & Spencer n’a pas payé la rançon lorsqu’il a été victime d’une attaque par ransomware en avril 2025, perturbant ses systèmes logistiques internes et le contraignant à fermer sa boutique en ligne pendant plusieurs mois. L’entreprise a estimé le coût de l’incident à 400 M$ de pertes de bénéfice opérationnel.

Le dilemme du paiement des rançons reste donc un sujet sensible pour les RSSI (CISO). Mais l’exemple de M&S semble montrer que, lorsqu’une attaque par ransomware survient, la meilleure option peut être parfois de payer la rançon, à moins d’avoir une confiance absolue dans la qualité et la robustesse de ses sauvegardes.