Sur la base des travaux de recherche du Dr iur. Dr rer. pol. Fabian M. A. Teichmann

C’est le cauchemar de toute direction d'entreprise : lundi matin, 7h30. Un message apparaît sur tous les écrans indiquant que l’ensemble des données a été chiffré. Pour récupérer ses fichiers, il faut transférer une somme à sept chiffres en Bitcoin dans un délai de 72 heures. Que faire maintenant ?

C’est précisément à ce moment-là que commencent pour de nombreuses entreprises les heures les plus coûteuses de leur histoire – et en même temps une série de questions juridiques auxquelles presque personne n’a réfléchi auparavant. A-t-on le droit de payer ? Doit-on informer les autorités ? Une cyberassurance protège-t-elle ? Et que se passe-t-il si l’on décide tout simplement de ne pas payer ?

Teichmann a analysé méthodiquement ces questions dans plusieurs articles scientifiques – sous l'angle du droit pénal, de la conformité (compliance) et du droit des assurances. Ses conclusions sont pertinentes pour tout entrepreneur, et pas seulement pour les cabinets d'avocats.

Ce qu'est réellement le rançongiciel aujourd'hui

Le rançongiciel (ransomware) n’est plus depuis longtemps un phénomène technique marginal. Il s'agit d'une économie souterraine organisée, basée sur la division du travail et générant des milliards de dollars de chiffre d'affaires, tolérée voire encouragée par l'État dans certains pays (Teichmann, Ransomware-Erpressung: Umgang, Rechtsfragen und Cyberversicherung, ZBJV 2025, p. 553–578).

Le modèle économique fonctionne de manière industrielle. Des courtiers en accès initial (Initial Access Brokers) s'introduisent d’abord dans les réseaux d'entreprises par hameçonnage (phishing) ou en exploitant des failles de sécurité connues. Ils revendent ensuite cet accès sur le darknet à des groupes de rançongiciels spécialisés, qui procèdent au chiffrement proprement dit et organisent l'extorsion. On assiste de plus en plus à ce que l'on appelle la double extorsion (Double Extortion) : avant le chiffrement, des données d'entreprise sensibles sont exfiltrées, et les criminels menacent en outre de les publier – même si la victime paie et récupère ses données (Teichmann, ZBJV 2025, p. 553–578).

Un constat important issu des recherches de Teichmann : aucune entreprise n’est trop petite ou trop insignifiante pour les attaquants par rançongiciel. Le choix de la victime est généralement opportuniste – quiconque présente une faille de sécurité est touché. Les groupes criminels professionnels calculent le montant de la rançon de manière à ce qu'il soit juste en dessous du coût estimé d'une restauration autonome des données, afin de maximiser l'incitation à payer (Teichmann, ZBJV 2025, p. 553–578).

L’ampleur des dégâts est colossale. Teichmann documente notamment l’attaque de Change Healthcare en 2024, au cours de laquelle six téraoctets de données médicales sensibles ont été dérobés, touchant environ 100 millions de personnes (Teichmann, Ransomware-Bedrohung im Gesundheitswesen, Compliance Berater 2025, p. 227–233). En Allemagne, une attaque par rançongiciel contre l’entreprise Fasana en 2025 a conduit directement à la faillite – un signal d’alarme que Teichmann considère comme représentatif pour les PME (Teichmann, Cyberangriff als Insolvenzauslöser: Der Fall Fasana als Weckruf, ZRI 2026, p. 6–13).

La question cruciale : est-il interdit de payer une rançon ?

La réponse en surprend plus d’un : en Allemagne, en Autriche et en Suisse, le paiement d’une rançon à des extorqueurs par rançongiciel n’est en principe pas sanctionné par la loi. Il n’existe pas d’interdiction légale explicite. La décision relève formellement de la responsabilité entrepreneuriale de la victime.

Cela ne signifie toutefois pas pour autant l'absence de risques juridiques. Dans plusieurs articles, Teichmann met en évidence les circonstances dans lesquelles un paiement de rançon peut néanmoins relever du droit pénal (Teichmann, ZBJV 2025, p. 553–578).

Le premier facteur de risque est le soutien à des organisations criminelles. Si les attaquants sont membres d’une organisation criminelle au sens du droit pénal – ce qui peut tout à fait être le cas pour les grands groupes de rançongiciels professionnels organisés – alors le paiement de la rançon peut être considéré comme un soutien financier à cette organisation. Un dol éventuel suffit : quiconque envisage que l’argent puisse bénéficier à une structure criminelle et l'accepte prend le risque de commettre une infraction pénale. Parallèlement, dans un tel scénario d'urgence, un état de nécessité justificatif pourrait régulièrement être invoqué – l’entreprise agissant sous une pression considérable pour éviter un mal plus grand (Teichmann, ZBJV 2025, p. 553–578).

Le deuxième facteur de risque est le financement du terrorisme. S’il était prouvé que les attaquants appartiennent à une organisation terroriste – ce qui est rarement possible d’établir avec certitude en pratique – un paiement tomberait sous le coup de l’infraction de financement du terrorisme. Dans ce cas, un paiement serait clairement illicite.

Le troisième facteur de risque, et le plus souvent sous-estimé en pratique, concerne les sanctions internationales. De nombreux grands groupes de rançongiciels figurent sur les listes de sanctions des États-Unis, de l’UE ou d’autres États – en particulier les groupes soupçonnés de liens avec la Corée du Nord ou la Russie. L’Office of Foreign Assets Control (OFAC) des États-Unis a précisé que les paiements à des destinataires sous sanction peuvent faire l’objet de sanctions civiles – même si l’entreprise payeuse ignorait qu’elle traitait avec une partie sanctionnée (Teichmann, ZBJV 2025, p. 553–578). Pour les entreprises ayant des activités internationales ou un lien avec les États-Unis, il s’agit d’un piège de conformité majeur : on peut se retrouver en difficulté juridique sans avoir eu de mauvaise intention.

Pourquoi les autorités et les experts le déconseillent malgré tout

Même si payer n’est pas interdit en soi, les autorités de poursuite pénale et les experts en cybersécurité du monde entier s’accordent à le déconseiller – et ce, pour de bonnes raisons.

Un paiement ne garantit pas que les données seront réellement déchiffrées. Les auteurs de l'infraction peuvent formuler de nouvelles exigences après avoir reçu l’argent ou vendre les données volées sur le darknet, que le paiement ait été effectué ou non. Chaque paiement réussi finance la prochaine vague d’attaques et fait connaître l’entreprise payeuse comme un débiteur fiable – ce qui augmente la probabilité de futures attaques. De plus, une entreprise connue pour payer apparaît comme une cible de choix (Teichmann, ZBJV 2025, p. 553–578).

La décision de payer ou non doit donc dépendre de plusieurs questions concrètes : Existe-t-il des sauvegardes (backups) fonctionnelles et sécurisées hors ligne permettant de restaurer les données sans payer ? Quelle est la sensibilité des informations exfiltrées – leur publication risque-t-elle de causer des dommages irréparables aux clients, mandants ou partenaires commerciaux ? Et la somme demandée est-elle proportionnelle au préjudice total redouté ? Cette évaluation doit être faite en cas d'urgence sous une pression de temps considérable – d’où l’intérêt de l’avoir anticipée en principe.

Obligations de notification : qui doit notifier quoi, et quand ?

Une erreur fréquente : de nombreuses entreprises pensent pouvoir garder un incident de rançongiciel confidentiel en interne et simplement payer sans avoir à en informer quiconque. Ce n’est de moins en moins vrai.

En vertu du Règlement général sur la protection des données (RGPD) de l’UE et de la législation allemande sur la protection des données, en cas de violation de données personnelles – et une attaque par rançongiciel affectant des données personnelles en est presque toujours une –, il existe une obligation de notification à l’autorité de contrôle compétente sous 72 heures. S’il peut être prouvé que les personnes concernées sont également exposées à un risque élevé, celles-ci doivent également être informées.

Sous la directive NIS 2, transposée en Allemagne par la loi NIS2UmsuCG, une obligation de notification encore plus stricte de 24 heures s'applique aux entreprises concernées auprès de l’Office fédéral de la sécurité des technologies de l'information (BSI) en cas d’incidents de sécurité majeurs (Teichmann, Die neue 24-Stunden-Meldepflicht für Cyberangriffe nach ISG, Jusletter, 29 septembre 2025). Quiconque notifie trop tard ou omit de le faire s'expose à de lourdes amendes.

Par ailleurs, les autorités en Allemagne, en Autriche et en Suisse recommandent de déposer plainte rapidement. Cela présente des avantages pratiques : les autorités d’enquête peuvent apporter un soutien technique, suivre les canaux de communication des criminels et, idéalement, mettre à disposition des outils de déchiffrement. Le dépôt d'une plainte ne rend pas la victime coupable – et augmente les chances de traduire les coupables en justice (Teichmann, ZBJV 2025, p. 553–578).

Le lien avec l'insolvabilité : un risque sous-estimé

Teichmann met au jour un lien qui est encore peu connu dans la pratique des affaires : une attaque par rançongiciel peut déclencher des obligations de déclaration d’insolvabilité. Si une attaque entraîne une cessation de paiements ou la menace d'une cessation de paiements, l'article 15a de la loi allemande sur l'insolvabilité (InsO) s'applique – obligeant à déclarer l'insolvabilité sans délai. Quiconque hésite ou retarde cette déclaration s’expose non seulement à une responsabilité civile, mais aussi à des conséquences pénales pour retard de déclaration de faillite (Teichmann, Cyberbedingte Insolvenzreife und § 15a InsO, ZInsO 2025, p. 2193–2207 ; id., Cyberkrise und Insolvenzverschleppung, ZRI 2025, p. 877–884).

C'est précisément ici que le régime NIS 2 intervient de manière préventive : il oblige les entreprises à prendre au sérieux et à gérer les cyberrisques avant qu'ils ne menacent l'existence même de l'organisation. Ce faisant, on se protège non seulement de l’attaque elle-même, mais aussi des conséquences juridiques ultérieures (Teichmann, Cyberrisiken und Insolvenzgefahr: Präventive Schutzpflichten des NIS2-Regimes, InsA 2026, p. 3–10).

Ce que couvre une cyberassurance – et ce qu'elle ne couvre pas

De nombreuses entreprises comptent sur le fait qu'une cyberassurance résoudra tous les problèmes en cas de sinistre. C’est une erreur dangereuse.

De bonnes cyberassurances couvrent effectivement un large éventail de risques : coûts de l’expertise informatique légale (forensique) et des spécialistes de crise externes, pertes d’exploitation, réclamations en responsabilité civile de tiers lésés et – dans de nombreux cas – le remboursement de la rançon payée. Certains assureurs mettent même immédiatement un gestionnaire de crise à disposition en cas de sinistre.

Mais le diable se cache dans les détails. Presque toutes les polices cyber contiennent des clauses d’exclusion pour les paiements à des destinataires sous sanction – ce qui signifie que s'il s'avère que le groupe de rançongiciels figurait sur une liste de sanctions, l’assurance ne paiera pas. À la suite des attaques NotPetya en 2017, certains assureurs ont refusé la couverture en arguant qu’il s’agissait d’une attaque étatique relevant de la clause d’exclusion des risques de guerre. De plus, presque toutes les polices exigent de consulter l’assureur avant tout paiement de rançon – quiconque paie de son propre chef sans impliquer l’assurance risque de perdre son droit à l'indemnisation (Teichmann, ZBJV 2025, p. 553–578).

La cyberassurance est un outil utile au sein d’une stratégie globale. Elle ne remplace cependant ni les mesures de protection technique ni une planification de crise réfléchie. Se reposer exclusivement sur l'assurance relève de la négligence.

Ce qu’il faut réellement faire en cas d’urgence

Les recherches de Teichmann suggèrent que la gestion d’une attaque par rançongiciel est caractérisée en pratique par un problème central : les décisions doivent être prises sous une pression maximale, sans information suffisante sur les attaquants, l’étendue des dégâts et les conséquences juridiques des différentes options d'action.

C'est pourquoi la préparation est essentielle. Les entreprises qui disposent d'un plan d’urgence – définissant qui est responsable, qui est informé et quand, quels spécialistes externes sont sollicités, où se trouvent les sauvegardes hors ligne – agissent de manière structurée plutôt que chaotique en cas de crise. Les entreprises sans plan improvisent dans la panique et prennent régulièrement des décisions qu'elles regrettent par la suite (Teichmann & Boticiu, The Importance of Cybersecurity Incident Response Plans for Law Firms, Jusletter, 3 avril 2023).

En cas de crise immédiate : isoler immédiatement les systèmes concernés du réseau pour empêcher toute propagation. Sécuriser les sauvegardes et les déconnecter des systèmes de production. Sauvegarder les fichiers journaux (logs) avant de nettoyer les systèmes – ils sont cruciaux pour l'analyse forensique ultérieure. Informer l’assurance. Déposer plainte. Consulter un conseiller juridique avant même d’envisager un paiement. Et garder un œil sur les obligations de notification. Les autorités de protection des données et le BSI imposent des délais stricts.

La question de savoir s'il faut payer doit être posée en dernier – non pas en premier. Et elle ne devrait jamais être tranchée sans un accompagnement professionnel.

Évolutions internationales : vers quoi se dirige-t-on ?

Au niveau international, Teichmann observe une orientation claire : les États durcissent de plus en plus les obligations pesant sur les entreprises et débattent parallèlement d’une réglementation plus stricte, voire d’une interdiction pure et simple des paiements de rançons (Teichmann, International legal response to ransomware: toward a ban on payments?, International Cybersecurity Law Review 2026, p. 1–28).

Aux États-Unis, l’Office of Foreign Assets Control (OFAC) a clairement indiqué que les paiements aux groupes sanctionnés entraînent des conséquences civiles – et le ministère de la Justice a mis en place sa propre Ransomware Task Force. Dans le même temps, des initiatives politiques visent à interdire de manière générale le paiement de rançons aux infrastructures critiques.

Dans l’UE, le RGPD et la directive NIS 2 imposent des obligations claires en matière de prévention, de notification et de réaction – avec de lourdes amendes en cas d’infraction. La direction est claire : quiconque ne se prépare pas paiera deux fois – une fois aux extorqueurs, une fois au législateur.

Conclusion : la préparation est la seule protection efficace

Le rançongiciel est une menace qui peut toucher tout le monde – et elle se professionnalise, au lieu de s’amateuriser. La situation juridique est complexe : payer n’est pas interdit, mais comporte des risques considérables. Ne pas payer est la stratégie officiellement recommandée – mais elle n’est applicable en pratique que si l’entreprise est préparée.

La recherche de Teichmann le montre : le tournant décisif n'est pas pris au moment de l’attaque, mais dans les mois et années qui la précèdent. Des sauvegardes fonctionnelles, des plans d’urgence clairs, des collaborateurs formés, des procédures de notification connues et une cyberassurance vérifiée – tels sont les piliers qui, en cas de crise, font la différence entre une situation maîtrisée et une catastrophe menaçant la survie de l’entreprise.

Toutes les sources citées font référence à des publications scientifiques du Dr iur. Dr rer. pol. Fabian M. A. Teichmann. La bibliographie complète est documentée dans la liste des publications (en date de mai 2026).