Entreprise victime d’un rançongiciel : que faire dans les 72 heures et après

Un matin, les fichiers ne s’ouvrent plus. À la place, un message : vos données sont chiffrées, payez en cryptomonnaie sous quelques jours ou tout est détruit, voire publié. La production est à l’arrêt, la comptabilité inaccessible, et un compte à rebours commence. Deux comptes à rebours, en réalité, calés tous deux sur soixante-douze heures : l’un conditionne votre indemnisation par l’assurance, l’autre vous expose à une sanction de la CNIL si vous le manquez.

Le premier réflexe est de traiter l’attaque comme un incident informatique. C’est déjà un dossier juridique dès la première heure. Chaque décision prise dans la panique — éteindre un serveur, effacer une trace, payer sans réfléchir, ne prévenir personne — se paie ensuite en preuves perdues, en indemnisation refusée et, pour le dirigeant, en responsabilité personnelle. Voici l’ordre dans lequel agir, ce que le droit autorise réellement, et où se trouvent les pièges que personne ne signale.

Le rançongiciel n’est qu’une variété parmi d’autres d’atteintes numériques dont les entreprises sont la cible.

Liste des escroqueries en ligne et sur internet

Les 72 heures qui décident de tout

Dans les trois premiers jours, vous jouez à la fois la continuité de l’entreprise, votre indemnisation et votre exposition. L’ordre des gestes compte autant que les gestes eux-mêmes.

Faut-il éteindre les machines infectées ?

Non, pas brutalement. Débranchez les machines du réseau (câble, Wi-Fi, VPN) pour stopper la propagation, mais laissez-les allumées. La mémoire vive contient souvent des éléments précieux — clés de chiffrement, adresses des serveurs de l’attaquant — qui disparaissent à l’extinction. Un arrêt sec peut détruire la preuve technique dont vous aurez besoin pour la plainte et pour l’assurance.

Ce réflexe se prend avant l’arrivée du prestataire de réponse à incident, souvent avant toute décision juridique. Une donnée écrasée à la première heure ne se reconstitue pas au troisième jour.

Préserver la preuve qui aura une valeur en justice

L’entreprise victime veut « nettoyer » et redémarrer au plus vite. Légitime pour l’exploitation, désastreux pour le dossier. Avant toute remise en service, faites réaliser une copie des journaux (connexion, pare-feu, messagerie), une image des disques des machines touchées, et conservez le message de rançon, les adresses de portefeuilles cryptographiques et tout échange avec l’attaquant.

Ces éléments servent à identifier la faille, à alimenter votre plainte et à démontrer à l’assureur la matérialité du sinistre. Documentez aussi, heure par heure, les décisions prises et par qui : cette chronologie interne devient une pièce à part entière, notamment pour établir que le dirigeant a réagi en administrateur prudent.

Qui prévenir, et dans quel ordre ?

Dans l’ordre : le prestataire de réponse à incident, pour contenir l’attaque et geler la preuve ; l’assureur cyber, dont le contrat impose souvent de le prévenir sans délai et d’utiliser ses experts agréés ; les services de police ou de gendarmerie, pour la plainte ; la CNIL si des données personnelles sont touchées ; l’ANSSI pour les entreprises régulées. Le dispositif public cybermalveillance.gouv.fr oriente vers des prestataires référencés.

Un piège fréquent : appeler d’abord son informaticien habituel, qui redémarre et réinstalle de bonne foi, effaçant au passage les traces. La déclaration à l’assureur et la plainte se déclenchent en parallèle, pas l’une après l’autre. Perdre deux jours à « voir si on peut s’en sortir seul » consume l’essentiel de la fenêtre de 72 heures.

Le dépôt de plainte sous 72 heures

Déposez plainte au commissariat, à la gendarmerie ou directement auprès du procureur de la République dans les 72 heures suivant la découverte de l’attaque. Depuis la loi LOPMI, ce délai commande votre indemnisation par l’assurance cyber (voir plus bas). Une plainte tardive, et la clause d’assurance peut ne jamais jouer.

L’infraction que vous dénoncez a un nom précis. L’accès et le maintien frauduleux dans votre système, puis l’atteinte à vos données, sont réprimés par les articles 323-1 et suivants du Code pénal : l’accès frauduleux ayant entraîné une altération du système est puni de cinq ans d’emprisonnement et 150 000 euros d’amende (art. 323-1 C. pén.), l’atteinte aux données elles-mêmes de cinq ans et 150 000 euros (art. 323-3 C. pén.). Surtout, la demande de rançon caractérise une extorsion : obtenir la remise de fonds par la contrainte est puni de sept ans d’emprisonnement et 100 000 euros d’amende (art. 312-1 C. pén.).

Veillez à ce que la plainte vise expressément l’extorsion, et pas seulement l’atteinte au système. Les services enquêteurs qualifient spontanément le rançongiciel d’accès frauduleux (art. 323-1), infraction moins grave ; c’est la qualification d’extorsion qui reflète la réalité et qui pèsera, le moment venu, sur la lecture de votre police d’assurance et sur les moyens d’enquête engagés. Une plainte mal qualifiée oriente tout le dossier en aval.

Lorsque l’attaquant a exfiltré des fichiers avant de les chiffrer — le cas le plus fréquent —, une qualification supplémentaire s’ajoute : le vol de données. La Cour de cassation juge que le téléchargement de données protégées, sans le consentement de leur propriétaire, caractérise la soustraction frauduleuse constitutive du vol, y compris en présence d’un simple maintien frauduleux dans le système (Crim., 20 mai 2015, n° 14-81.336). Faites viser cette qualification dans la plainte : elle élargit le champ de l’enquête et sécurise votre position vis-à-vis de l’assureur.

La notification à la CNIL : le second compte à rebours

Si le rançongiciel a touché des données personnelles — fichier clients, données RH, coordonnées de fournisseurs —, vous devez notifier la violation à la CNIL dans les 72 heures après en avoir pris connaissance (art. 33 du RGPD), sauf si la violation n’est pas susceptible d’engendrer un risque pour les personnes concernées. Le délai court à compter du moment où vous avez connaissance de la violation, pas de la fin de la crise.

Deux délais de 72 heures coexistent donc, avec des points de départ voisins mais des logiques différentes : la plainte pénale d’un côté (qui commande l’assurance), la notification CNIL de l’autre (qui relève du RGPD). Si la violation est susceptible d’engendrer un risque élevé, vous devez en outre informer individuellement les personnes concernées (art. 34 du RGPD) — lesquelles pourront ensuite exercer leurs droits, à commencer par le droit d’accès à leurs données.

Une erreur revient sans cesse : ne pas notifier parce qu’on n’a « pas la preuve » que les données ont été exfiltrées. Le chiffrement de vos fichiers constitue déjà, à lui seul, une perte de disponibilité des données, donc une violation notifiable même sans exfiltration démontrée. Sous-notifier pour éviter les ennuis est le geste qui transforme la victime en mise en cause : l’absence de notification est un manquement autonome qui s’ajoute à l’attaque.

Les entreprises régulées : la notification à l’ANSSI

Une partie des entreprises supporte une obligation de signalement supplémentaire, distincte de la notification CNIL. Les entités qualifiées d’« essentielles » ou d’« importantes » au titre du cadre européen de cybersécurité (directive dite NIS 2) doivent déclarer tout incident significatif à l’ANSSI selon une logique en plusieurs temps : une alerte initiale sous 24 heures, une notification circonstanciée sous 72 heures, puis un rapport final sous un mois.

Cette obligation se cumule avec la notification à la CNIL et le dépôt de plainte ; elle ne les remplace pas. Une même attaque peut ainsi déclencher trois procédures parallèles, aux points de départ voisins et aux destinataires différents. Le défaut de notification est, là aussi, un manquement sanctionnable en soi, indépendamment de l’attaque subie. Vérifiez en amont — pas pendant la crise — si votre activité entre dans le périmètre régulé : c’est cette cartographie qui décide du nombre d’horloges qui se déclenchent le jour J.

Faut-il payer la rançon ?

C’est la question que tout dirigeant se pose et que peu de sources tranchent. Voici la réponse juridique, puis la réponse pratique.

Aucune infraction ne punit, en droit français, le seul fait pour une victime de payer une rançon. Payer n’est donc pas illégal en soi. Mais aucune règle ne l’autorise ni ne l’encourage, et les autorités publiques, dont l’ANSSI, recommandent publiquement de ne pas payer. Le paiement ne garantit ni la restitution des données, ni l’absence de nouvelle attaque, et alimente l’économie criminelle.

Faut-il négocier avec les attaquants ?

Négocier n’est pas payer. Ouvrir un canal permet de gagner du temps, de tester la réalité du déchiffrement sur un fichier, de mesurer l’ampleur de l’exfiltration et de retarder une éventuelle publication, le temps de restaurer et de prévenir les autorités. Mais ne négociez jamais seul depuis une messagerie potentiellement compromise : l’attaquant lit souvent encore vos échanges internes.

Confiez la discussion à un professionnel de la réponse à incident, sur un canal séparé, et coordonnez chaque message avec l’avocat et l’assureur. Toute promesse hâtive, tout aveu sur la valeur des données ou la couverture d’assurance renforce la position adverse. La négociation est une manœuvre technique et juridique, pas une conversation.

Peut-on récupérer ses données sans payer ?

Souvent, oui. La première voie est la restauration à partir de sauvegardes saines et isolées, préservées de l’attaque. Pour certaines souches de rançongiciels, des outils de déchiffrement gratuits existent et sont recensés par les dispositifs publics (cybermalveillance.gouv.fr, projet européen No More Ransom). C’est précisément l’absence de sauvegardes hors ligne exploitables qui place l’entreprise en position de faiblesse — et qui, plus tard, se retourne contre le dirigeant.

Ne comptez pas sur la seule bonne foi de l’attaquant : payer ne garantit ni une clé fonctionnelle, ni la destruction des données volées. La restauration technique, elle, dépend de vous et de vos prestataires, pas d’un criminel.

Les risques réels du paiement

La victime qui paie n’est, en principe, pas poursuivie pour extorsion : elle la subit. Le risque juridique se situe ailleurs, et il pèse surtout sur ceux qui organisent le versement. Le blanchiment, réprimé par l’article 324-1 du Code pénal (cinq ans d’emprisonnement et 375 000 euros d’amende), vise le concours apporté à des opérations portant sur des fonds liés à une infraction — ce qui expose les intermédiaires et négociateurs qui structurent le paiement.

Le circuit de paiement lui-même n’est pas neutre. Les professionnels par lesquels transitent les fonds — établissement de paiement, prestataire de services sur actifs numériques — sont assujettis à la lutte contre le blanchiment et peuvent adresser à TRACFIN une déclaration de soupçon sur l’opération. Payer par l’intermédiaire d’un prestataire ne met donc à l’abri ni du signalement, ni de la qualification de blanchiment pour ceux qui montent le versement.

Un autre écueil tient au régime de gel des avoirs. Si le groupe criminel bénéficiaire figure sur une liste de sanctions internationales, transférer des fonds vers cette entité pourrait, en théorie, constituer une violation autonome des mesures de gel. La question n’a pas été tranchée par les tribunaux français s’agissant de la victime payeuse. Dans le doute, aucune décision de paiement ne devrait se prendre sans analyse juridique préalable ni sans avoir déposé plainte : payer dans le dos des autorités cumule tous les inconvénients.

Si le versement a déjà eu lieu, la traçabilité des fonds en cryptomonnaie ouvre parfois une voie de récupération, selon une logique voisine de celle des litiges avec les plateformes d’actifs numériques.

Litige avec une plateforme crypto : comment récupérer votre argent ?

La double extorsion : quand vos données sont volées, pas seulement chiffrées

La plupart des attaques récentes ne se contentent plus de chiffrer : elles exfiltrent d’abord les données, puis menacent de les publier ou de les vendre si la rançon n’est pas versée. C’est la « double extorsion ». Sa conséquence est décisive : même sauvegardé et remis en route, vous restez exposé, car le chantage porte désormais sur la divulgation, pas seulement sur la disponibilité.

Cette configuration réveille des obligations propres. Si les données volées présentent un risque élevé pour les personnes, l’information individuelle des personnes concernées s’impose (art. 34 du RGPD). Si elles contiennent des informations à valeur économique — fichiers clients, prix, savoir-faire —, leur divulgation touche au secret des affaires, ce qui peut fonder des mesures d’urgence pour faire cesser ou prévenir la diffusion. Vos contrats, enfin, comportent souvent des clauses de notification des incidents à vos clients et partenaires : les ignorer ajoute une faute contractuelle à la crise.

Un réflexe qu’on oublie sous pression : pendant que le réseau est compromis, l’attaquant peut lire vos courriels et vos échanges de crise. La cellule de gestion doit basculer sur des canaux hors du système touché, en partant du principe que tout ce qui transite par l’infrastructure infectée est susceptible d’être intercepté.

Comment communiquer sans être écouté ?

L’assurance cyber : l’indemnisation conditionnée à la plainte

Depuis la loi LOPMI (loi n° 2023-22 du 24 janvier 2023), l’indemnisation des cyberattaques est verrouillée par une condition impérative. L’article L. 12-10-1 du Code des assurances subordonne le versement de toute somme destinée à indemniser une atteinte à un système de traitement automatisé de données (articles 323-1 à 323-3-1 du Code pénal) au dépôt d’une plainte de la victime au plus tard 72 heures après la connaissance de l’atteinte.

Deux précisions changent tout en pratique. D’abord, le texte ne vise que les personnes morales et les personnes physiques dans le cadre de leur activité professionnelle : les particuliers n’y sont pas soumis. Ensuite, le point de départ des 72 heures est la connaissance de l’atteinte, pas la fin de l’incident — un détail qui décide du sort de votre indemnisation.

Le remboursement d’une éventuelle rançon obéit à une autre logique. La loi ne l’impose ni ne l’interdit : il n’est dû que si votre contrat le prévoit expressément, dans les limites qu’il fixe. Lisez la police avant la crise, pas pendant. Concrètement, dès la découverte, déclenchez en parallèle la déclaration de sinistre à l’assureur et le dépôt de plainte, et conservez le récépissé : c’est la pièce que l’assureur exigera avant toute prise en charge.

Les exclusions qui vident la garantie

Une police cyber n’est pas un chèque en blanc. Les contrats subordonnent fréquemment la garantie au respect de mesures de sécurité déclarées à la souscription — sauvegardes, mises à jour, authentification renforcée — et excluent le sinistre lorsque ces engagements n’ont pas été tenus. Une déclaration inexacte du risque, ou une négligence grave dans la sécurité, peut faire tomber la couverture.

S’y ajoutent des sous-limites propres au poste « rançon », des franchises élevées, et des exclusions liées aux sanctions internationales interdisant d’indemniser un versement à une entité listée. Lisez ces clauses ligne à ligne : c’est là, et non dans le montant affiché du plafond, que se joue l’indemnisation réelle. Un contrat mal compris se découvre toujours au pire moment.

La responsabilité du dirigeant qui n’a pas sécurisé les données

Le rançongiciel ne frappe pas que la trésorerie. Il peut se retourner contre le dirigeant lui-même, sur trois terrains qu’il faut anticiper — car l’attaque révèle, a posteriori, l’état réel de la sécurité de l’entreprise.

Le risque administratif : les sanctions de la CNIL

Le RGPD impose de mettre en œuvre des mesures de sécurité adaptées au risque (art. 32). Une entreprise qui subit un rançongiciel faute de sauvegardes isolées, de mises à jour ou de gestion des accès s’expose à une sanction de la CNIL. Le manquement à la seule obligation de sécurité relève du plafond de 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial (art. 83, 4 du RGPD).

Ces « mesures adaptées » ne sont pas une abstraction. Les autorités attendent des standards désormais connus : sauvegardes régulières dont une copie hors ligne, hors d’atteinte du chiffrement (logique dite 3-2-1), authentification multifacteur sur les accès sensibles, cloisonnement du réseau, mises à jour appliquées et gestion rigoureuse des droits. La CNIL retient d’ailleurs fréquemment, en parallèle, un manquement au principe d’intégrité et de confidentialité des données (art. 5, 1, f), qui relève, lui, du plafond supérieur de 20 millions d’euros ou 4 % du chiffre d’affaires mondial (art. 83, 5). Elle sanctionne moins l’attaque elle-même que la négligence qui l’a rendue possible et le défaut de notification.

Le risque pénal : le défaut de sécurité des données personnelles

Traiter des données personnelles sans mettre en œuvre les mesures de sécurité prescrites est une infraction en soi : l’article 226-17 du Code pénal la punit de cinq ans d’emprisonnement et 300 000 euros d’amende. Sur le plan des données personnelles, la victime d’un rançongiciel peut donc se retrouver aussi en position de mise en cause si sa sécurité était manifestement défaillante. La responsabilité pénale de la personne morale peut être engagée aux côtés de celle du dirigeant.

Le risque civil : la faute de gestion

À l’égard de la société, des associés ou des tiers, le dirigeant qui a négligé la sécurité informatique peut voir sa responsabilité recherchée pour faute de gestion, en particulier si l’attaque provoque une perte d’exploitation majeure ou une fuite de données contractuellement protégées. La jurisprudence n’a pas encore fixé de standard propre à la cybersécurité. En l’état, la ligne de défense se prépare en amont : c’est la traçabilité des décisions de sécurité et des budgets alloués qui démontre la diligence du dirigeant, non l’absence d’incident.

Le volet victime : faire valoir vos droits dans la procédure pénale

L’entreprise n’est pas condamnée à subir. Elle est victime d’infractions caractérisées, et le droit pénal lui ouvre une place — à condition d’en connaître les limites.

Plainte simple ou plainte avec constitution de partie civile ?

La plainte simple, déposée au commissariat ou adressée au procureur, satisfait à l’obligation des 72 heures et laisse le parquet apprécier l’opportunité des poursuites. En matière de cybercriminalité, l’auteur est souvent à l’étranger et le classement sans suite fréquent. La plainte avec constitution de partie civile permet, elle, de saisir directement le juge d’instruction et de forcer l’ouverture d’une information judiciaire.

Le choix dépend de votre objectif : être indemnisé au plus vite, ou obtenir une enquête approfondie. Un point est trop souvent négligé : même contre un auteur inconnu à l’étranger, l’information judiciaire donne accès à des moyens d’enquête — réquisitions bancaires, traçage des flux en cryptomonnaie, coopération internationale — que vous n’obtiendrez jamais seul. La plainte n’a pas pour seul intérêt de faire condamner ; elle sert aussi à reconstituer le sinistre pour l’assurance et à identifier des recours civils.

Quelle est la différence entre une plainte simple et une plainte avec constitution de partie civile ?

Quelle place réelle pour l’entreprise victime ?

Il faut le savoir sans illusion : le procès pénal ne se déroule pas au bénéfice de la victime. Son objet est de dire si une infraction a été commise, pas de vous indemniser en priorité. La place de la victime dans le procès pénal reste seconde, et votre préjudice n’est examiné qu’une fois l’infraction établie. D’où l’intérêt d’être présent et actif dès l’instruction, plutôt que spectateur au jugement.

Quels préjudices pouvez-vous faire indemniser ?

Une personne morale peut demander réparation de son préjudice financier (frais de réponse à incident, honoraires, pertes d’exploitation, surcoûts), de son préjudice matériel (équipements endommagés) et, sous conditions, d’une atteinte à son image. Elle ne peut en revanche invoquer le préjudice d’affection, réservé aux personnes physiques. Chaque poste doit être justifié par des pièces : contrats, factures, expertise technique. Un préjudice affirmé mais non documenté n’est pas réparé.

L’atteinte à l’image ne se présume pas davantage : elle suppose de démontrer une dégradation concrète de la réputation auprès des clients ou du marché, pièces à l’appui. La difficulté propre au rançongiciel tient, elle, à l’identification de l’auteur. Lorsqu’il reste inconnu ou insolvable à l’étranger, l’action civile contre lui devient largement théorique, et l’indemnisation repose alors, pour l’essentiel, sur l’assurance cyber. Là encore, tout se joue sur la qualité du dossier constitué dès les premières heures.

Questions fréquentes

Une PME est-elle concernée par la directive NIS 2 ?

Peut-être. Le cadre européen NIS 2 vise, au-delà des grands opérateurs, un grand nombre d’entreprises de taille moyenne classées comme entités « essentielles » ou « importantes » selon leur secteur d’activité et des seuils d’effectif et de chiffre d’affaires. Une PME d’un secteur régulé peut donc supporter des obligations de sécurité et de notification à l’ANSSI. Il faut vérifier en amont son périmètre, avant tout incident.

Doit-on prévenir ses clients d’une cyberattaque par rançongiciel ?

Parfois, c’est une obligation. Si la violation touche des données personnelles et présente un risque élevé pour les personnes, l’information individuelle des personnes concernées est imposée par l’article 34 du RGPD. Indépendamment du RGPD, de nombreux contrats prévoient une clause de notification des incidents de sécurité aux clients et partenaires. Ignorer ces obligations ajoute une faute, contractuelle ou réglementaire, au préjudice de l’attaque.

Peut-on récupérer une rançon déjà versée en cryptomonnaie ?

C’est difficile mais pas toujours exclu. Les transactions en cryptomonnaie sont traçables sur la blockchain, et une information judiciaire permet des réquisitions et une coopération internationale susceptibles de suivre les fonds jusqu’à une plateforme d’échange. La récupération effective reste rare et dépend de l’identification d’un point de sortie saisissable. Elle suppose une plainte déposée et un dossier technique solide dès l’origine.

Ce que la règle générale ne dit pas

Les délais, les articles et les réflexes exposés ici forment le socle commun à toute attaque. L’issue, elle, se joue sur les faits : la nature des données touchées, le contenu exact de votre police d’assurance, l’état documenté de votre sécurité, la stratégie de plainte adaptée à l’auteur identifié ou non. C’est cette application au cas concret — et la coordination, sous pression, du volet pénal, du volet assurance et du volet CNIL — qui sépare l’entreprise qui s’en relève de celle qui accumule les fautes. C’est précisément là qu’intervient l’avocat.

Valentin Simonnet est avocat au Barreau de Paris. Il intervient en contentieux des affaires et en droit pénal des affaires.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *