Getty Images

Actualites

Ransomware : pas question d'interdire le paiement des rançons aux Pays-Bas

Le ministre de la Justice et de la Sécurité, David van Weel, est clair : « nous ne voulons pas criminaliser les organisations qui sont devenues victimes d'une attaque par ransomware ».

Valéry Rieß-Marchive
par
Publié le: 14 avr. 2026

Pour un dirigeant, la découverte d'une cyberattaque avec rançongiciel déclenche une équation complexe où s'affrontent des intérêts divergents. D'un côté, l'intérêt individuel de l'organisation qui cherche à limiter les dommages immédiats ; de l'autre, l'intérêt sociétal visant à briser le modèle économique des cybercriminels.

Cette tension est au cœur du débat politique depuis de nombreuses années. Aux Pays-Bas, le gouvernement vient de choisir la voie de la recommandation plutôt que celle de la contrainte légale. Le ministre de la Justice et de la Sécurité, David van Weel, vient ainsi de déclarer : « Nous ne voulons pas criminaliser les organisations qui sont devenues victimes d'une attaque par ransomware ». L'État privilégie donc un conseil urgent de ne pas payer, tout en laissant la décision finale à l'entreprise.

Cur le terrain, cette liberté est perçue comme une option de dernier recours pour des structures menacées d'extinction. Inge van der Beijl, experte en crise chez Northwave, soulignait la réalité brutale de ce choix à nos confrères d'ICT Magazine : « si une entreprise existe depuis 120 ans et risque de tout perdre parce qu'elle n'a plus accès à ses données, alors payer est une option amère mais réelle ».

La fragmentation des approches réglementaires mondiales

La réponse législative varie selon les juridictions. Le Royaume-Uni a adopté une posture de fermeté accrue, ciblant particulièrement les secteurs vitaux. Le ministère de l'Intérieur britannique prévoit d'interdire officiellement le paiement des rançons pour les hôpitaux, les écoles et les opérateurs d'infrastructures critiques.

Toutefois, cette mesure suscite des réserves chez les experts. Jamie MacColl, chargé de recherche principal au sein du groupe de réflexion du Royal United Services Institute (Rusi), craint une inefficacité face à la nature opportuniste des attaquants : « ol est peu probable que les auteurs malveillants liés aux ransomwares acquièrent une connaissance approfondie de la législation britannique [...] Je ne vois pas comment la plupart des cybercriminels pourraient tenir compte d'une interdiction limitée des paiements au Royaume-Uni ».

À l'opposé, l'Australie mise sur la transparence pour pallier le manque de visibilité des autorités. Depuis l'été dernier, les entreprises dépassant un certain seuil de chiffre d'affaires sont tenues de déclarer toute concession à une tentative de cyberextorsion sous 72 heures. L'objectif est de transformer le signalement volontaire, jugé sous-utilisé, en une obligation légale pour mieux cartographier la menace.

Au-delà des interdictions directes, les mécanismes financiers sont de plus en plus scrutés pour couper les flux vers la cybercriminalité organisée. En Allemagne, des experts appelaient déjà en 2022 à des mesures fiscales dissuasives, notamment pour que les rançons ne soient plus déductibles des bénéfices des entreprises.

En France, à la même époque, le Cesin (Club des Experts de la Sécurité de l’Information et du Numérique) s'opposait fermement à un projet de loi qui visait à conditionneer l'indemnisation des rançons au dépôt de plainte. Le club craignait que cela ne devienne une « incitation au paiement des rançons » et soulignait les risques de pressions exercées par les assureurs pour privilégier le paiement plutôt que la remédiation coûteuse.

Pour approfondir sur Menaces, Ransomwares, DDoS