Ransomware : Ruag reconnaît avoir cédé au chantage d’Akira
Le groupe d’armement helvète a versé une rançon au groupe Akira après une cyberattaque contre sa filiale américaine, défiant les recommandations fédérales suisses.
La filiale américaine Ruag LLC, située en Virginie, du groupe d’armement helvète a subi une cyberattaque orchestrée par le groupe Akira à l’automne 2025. Les attaquants ont déployé une stratégie de double extorsion, comme à leur habitude : exfiltration de données sensibles et chiffrement des systèmes. Le périmètre de la compromission inclut des données relatives au personnel, des contrats militaires et des protocoles de manipulation d’explosifs.
La segmentation des systèmes informatiques de la filiale américaine a limité l’impact technique. Cette architecture a permis d’isoler la compromission sur un périmètre restreint.
Face à la menace de publication des données volées, sur le dark web, Ruag a versé une rançon au groupe Akira pour garantir la récupération des informations. Cette décision repose sur des analyses internes et l’appui d’experts juridiques américains. L’entreprise invoque son autonomie de gestion pour justifier cette action. Jürg Rötheli, président du conseil d’administration de Ruag, a déclaré : « nous avons payé un petit montant et nous avons heureusement récupéré toutes les données ».
Bien que le montant exact n’ait pas été communiqué, il a été qualifié de « faible ». Cette stratégie privilégie la continuité opérationnelle immédiate sur les principes de non-coopération avec les acteurs criminels. Silvan Gruber, chef de la communication chez Ruag, précise : « un tel choix appartient à notre compétence en tant qu’entreprise. Nous sommes convaincus qu’il s’agissait de la bonne décision dans ce cas. »
Conflit de normes et répercussions politiques
Le paiement contrevient aux recommandations de l’Office fédéral de la cybersécurité (Bacs/NCSC), qui déconseille systématiquement de céder aux exigences des cybercriminels. L’autorité souligne que « chaque extorsion réussie motive la partie adverse à continuer et finance les activités criminelles ».
Le Département fédéral de la défense (DDPS/VBS), représentant la Confédération en tant que propriétaire de Ruag, n’a pas été informé de la décision avant son exécution. Cette absence de coordination entre la gestion privée de l’entreprise et les directives de sécurité nationale suscite des critiques. Le conseiller national Mauro Tuena a qualifié le signal envoyé par ce paiement de « dévastateur », affirmant que cela montre aux cybercriminels que la Confédération est prête à payer.
L’incident expose la tension entre les décisions de gestion de crise privées et les politiques de sécurité nationale. Alors que Ruag défend son choix par l’efficacité de la récupération des données, les autorités pointent le risque de créer un précédent qui fragilise la posture de défense globale du pays.
C’est en désignant Mecanex qu’Akira a revendiqué l’attaque, le 3 novembre 2025. Les données dérobées n’ont effectivement pas été divulguées, mais la revendication n’a pas été supprimée du site vitrine du groupe pour autant. Elle y figure toujours à l’heure où sont publiées ces lignes.
Pour approfondir sur Menaces, Ransomwares, DDoS
-
![]()
Ransomware : un premier trimestre dans la continuité de celui de 2025
Par: Valéry Rieß-Marchive
-
![]()
En 2025, la préparation et la résistance au ransomware se sont renforcées
Par: Valéry Rieß-Marchive
-
![]()
Ransomware : ces revendications au destin hasardeux
Par: Valéry Rieß-Marchive
-
![]()
Ransomware : les mensonges des cybercriminels
Par: Valéry Rieß-Marchive
