Skip to content
CyberCosts

Faut-il payer la rançon ? Ce qu'un ransomware coûte vraiment à une PME

La rançon est rarement la plus grosse ligne de la facture. Décomposition concrète de la remise en état, de l'arrêt d'activité et de la décision payer ou non, pour une PME.

Publié le 6 min de lecture
ransomwarerançongicielréponse à incidentcoût cyberattaquePME

La note de rançon, c'est la partie sur laquelle tout le monde se focalise. C'est presque jamais la partie qui coûte cher.

Quand une entreprise de taille moyenne est touchée, le chiffre qui finit sur la diapo du comité de direction n'est pas la demande. Ce sont les trois semaines d'activité au ralenti, le contrat de réponse à incident facturé à l'heure, les heures supplémentaires, les contrôleurs de domaine reconstruits, et les clients partis discrètement pendant que le standard était muet. La rançon, quand elle est payée, n'est qu'une ligne d'une facture bien plus longue.

Ça change tout pour la décision, parce que si vous ne pensez qu'à la rançon, vous vous posez la mauvaise question.

Où part vraiment l'argent

Décomposez un incident ransomware en ses postes réels et la rançon rétrécit vite.

La remise en état, c'est le gros morceau. Repartir d'un état sain, ça veut dire réimager les postes, restaurer les serveurs, valider les sauvegardes, faire tourner toutes les identités qui ont touché l'environnement, et mener une investigation pour être sûr que l'attaquant est vraiment parti, et pas tapi sur une tâche planifiée dormante. Dans notre modèle, le coût de base de la remise en état pour une entreprise d'environ 9 M€ de CA tourne autour de 138 000 €, avant ajustements de secteur et de taille, et ça exclut totalement la rançon. C'est du temps homme, des intervenants externes, et le travail lent qui consiste à pouvoir de nouveau faire confiance à son SI.

Ensuite l'arrêt d'activité. Un incident ransomware sérieux met une petite structure à l'arrêt plusieurs jours, et une entreprise de taille moyenne plutôt une à deux semaines en mode dégradé. Vous ne perdez pas 100 % du chiffre d'affaires sur cette fenêtre, parce qu'une partie de l'activité continue tant bien que mal, mais vous en perdez une part significative chaque jour. Multipliez le CA quotidien par le nombre de jours d'arrêt par la fraction réellement perdue, et la ligne interruption d'activité rivalise souvent à elle seule avec la remise en état.

La rançon, quand elle est payée, s'ancre autour de 130 000 € dans notre calibrage PME. Et elle n'est payée qu'environ 40 % du temps sur la population globale (Coveware observe plutôt un quart des victimes qui paient ces derniers trimestres, Sophos relève des taux plus élevés sur le mid-market). En espérance, la rançon est donc souvent le plus petit des trois grands postes.

Tout ça s'appuie sur des données de sinistres, pas sur du marketing anxiogène. L'étude des sinistres cyber de NetDiligence situe le coût total moyen d'un incident PME autour de 240 000 €, et le constat marquant, c'est que ce coût suit le chiffre d'affaires, pas le nombre d'enregistrements perdus. La rançon en est une tranche, pas le gâteau entier.

La décision, honnêtement

Voici la version inconfortable que la plupart des prestataires ne diront pas franchement.

Si vous avez des sauvegardes hors ligne, testées, restaurables, vous ne devriez presque certainement pas payer. Pas pour des raisons morales, même si elles existent, mais parce que payer vous achète très peu. L'outil de déchiffrement fourni est souvent buggé et lent. Les opérateurs livrent des binaires qui corrompent les gros fichiers, s'étranglent sur les bases de données, et traitent un hôte à la fois pendant que vos équipes tournent en rond. Restaurer depuis une sauvegarde saine est souvent plus rapide que de surveiller le déchiffreur d'un attaquant, et au bout du compte vous faites de nouveau confiance à votre environnement.

Payer ne fait pas non plus disparaître la fuite. Au moment où le ransomware se déclenche, les données ont en général déjà été exfiltrées. La double extorsion est devenue la norme : ils chiffrent et ils exfiltrent, puis menacent de publier. Payer le déchiffrement ne fait rien contre la copie qui dort sur leur infrastructure, et un « on a tout supprimé, voici une capture d'écran » ne vaut strictement rien. Vous négociez avec des gens dont tout le modèle économique consiste à ne pas tenir parole.

L'argument honnête pour payer est étroit. Les sauvegardes ont disparu ou ont été chiffrées elles aussi (parce qu'elles étaient en ligne et accessibles, l'échec de sauvegarde le plus fréquent que je vois). L'arrêt est réellement existentiel. Le déchiffrement est la seule voie qui maintient l'entreprise en vie. Dans cette situation, payer peut être rationnel, et il n'y a aucune honte à ça, mais entrez dedans en sachant que vous achetez une chance, pas une solution, et que vous figurez désormais sur la liste des organisations connues pour payer.

Une réalité opérationnelle qu'on oublie : les sanctions. Certains opérateurs de ransomware sont liés à des entités sous sanctions, et leur payer une rançon peut être illégal selon votre juridiction. C'est exactement pour ça qu'impliquer un conseil juridique et, franchement, un négociateur professionnel très tôt, ça compte. Ne laissez pas le responsable informatique virer des cryptos à 2h du matin parce que le PDG panique.

Pourquoi le vrai débat se joue sur les sauvegardes

Tout le débat payer ou non se ramène à une question préalable : pouvez-vous restaurer ?

Et « on a des sauvegardes » n'est pas la même chose que « on sait restaurer ». Les échecs sont prévisibles. Les sauvegardes étaient sur un partage que l'attaquant a atteint et chiffré avec le reste. Personne n'a jamais testé une restauration complète, donc on découvre en plein incident que six mois de sauvegardes échouaient en silence. La restauration fonctionne mais prend quatre jours que vous n'avez pas. Les objectifs de temps de reprise existaient sur le papier et ne voulaient rien dire en pratique.

Si vous voulez rendre le ransomware ennuyeux, c'est là qu'il faut mettre l'argent. Sauvegardes hors ligne ou immuables, une vraie restauration testée à intervalle régulier, et un plan de reprise que quelqu'un a déjà répété. Rien de tout ça n'est glamour. Tout ça coûte moins cher qu'un seul incident.

Calculez vos propres chiffres

Le secteur, la taille et le chiffre d'affaires déplacent beaucoup ces montants. La santé et la finance portent une fréquence et une sévérité nettement plus élevées ; une entreprise à 2 M€ de CA et une à 40 M€ ne jouent pas dans la même cour. Vous pouvez modéliser votre propre exposition sur le ransomware et les quatre autres scénarios qui l'accompagnent en général, et chaque constante ci-dessus est publiée dans la méthodologie avec sa source, pour que vous puissiez contester les hypothèses.

Si vous ne retenez qu'une chose : arrêtez de chiffrer la rançon. Chiffrez la remise en état.

Articles liés

Assurance cyber pour une PME : est-ce que ça vaut le coup ?
Ce que l'assurance cyber couvre vraiment, ce qu'elle coûte, les exclusions qui mordent au moment du sinistre, et comment décider si votre PME en a besoin ou peut s'auto-assurer.
assurance cyberPMEtransfert de risqueransomware
Le coût de l'arrêt d'activité : la perte cyber que personne ne met sur la facture
L'interruption d'activité est souvent la plus grosse ligne d'un incident cyber, et celle que les PME estiment le plus mal. Comment chiffrer une heure d'arrêt.
interruption d'activitéarrêtransomwareplan de reprise
Combien une PME doit-elle investir en cybersécurité ?
Oubliez la règle du pourcentage du budget informatique. Une façon pratique de dimensionner un budget sécurité de PME face au risque réel, et quels contrôles donnent le plus de réduction par euro.
budget sécuritéPMEgestion du risqueMFA