Hacking : faut-il payer les rançons en cryptomonnaies ?
Demandez à UNE IA DE RÉSUMER CET ARTICLE

Le gouvernement français voudrait rendre possible l’indemnisation des rançons par les compagnies d’assurance. Une proposition qui suscite pas mal de débats.

Vous avez atteint votre limite de 2 articles gratuits ce mois-ci

La recherche que vos pairs exploitent déjà

The Big Whale donne aux institutions financières la market intelligence, le réseau, et la plateforme pour naviguer avec confiance dans les actifs numériques.
Choisi par plus de 150 institutions financières.

­­­­Une dizaine d’ordinateurs plantés, des milliers de fichiers inaccessibles... Début septembre, la start-up parisienne de Cyril a subi une attaque qui a paralysé toute son activité. Depuis, pour rétablir le système, les hackers demandent le paiement d’une rançon de “plusieurs dizaines de milliers d’euros” payable en cryptomonnaies.

“Nous n’avons plus accès à rien”, explique le patron de 35 ans, qui s'est tourné vers la police 👮🏽, mais ne sait pas comment gérer cette rançon. Faut-il payer ? Si oui comment acquérir des cryptos ? Qui doit payer ? Les assureurs prennent-ils en charge l’opération ? Y a-t-il des procédures spéciales ?


Le sujet est d’autant plus sensible que Cyril n’est pas un cas isolé. En 2021, il y a eu presque 2000 demandes d’assistance d’entreprises françaises pour des cas de rançongiciels, selon Cybermalveillance.gouv.fr, un site d’assistance et de prévention pour les risques en ligne. Une centaine de ces demandes concernaient des rançongiciels basés sur des cryptomonnaies.

De sources policières françaises, le nombre des attaques serait même en réalité bien plus élevé. “Beaucoup d’entreprises n’osent pas se signaler”, confirme une source proche de l’assureur Axa. Et le phénomène serait le même partout en Europe avec un coût global estimé à plusieurs milliards d'euros, selon les chiffres de l'entreprise de cybersécurité ARS Solutions.

Payer les rançons ?

Pour tenter “d’aider” ces entreprises dépassées par les événements, le gouvernement français a récemment proposé de mettre en place un nouveau dispositif qui autoriserait les assureurs à payer ces rançons d’un genre nouveau. Le dispositif prévu dans le projet de loi d’orientation et de programmation du ministère de l’intérieur (LOPMI), présenté le 7 septembre au Conseil des ministres, toucherait tous les types de rançongiciels, même ceux basés sur les cryptomonnaies.

Comme l’a proposé le Trésor français, rattaché à Bercy, la seule condition pour être indemnisé serait que l’entreprise ait porté plainte ; et évidemment qu’elle soit assurée contre le risque cyber !

Ce projet de loi, qui devra encore être adopté au Parlement français (ce qui pourrait prendre plusieurs mois), a fait vivement réagir dans le secteur de l’assurance. “On se tire une balle dans le pied et en plus, on paye la balle”, ironise un assureur.

Comment être sûr qu’une fois payés les hackers cesseront l’attaque ?

Interrogés, la grande majorité des spécialistes, qui ne veulent pas être cités directement, expliquent qu’il n’y a aucune certitude. “La plupart du temps lorsqu’une entreprise paye une rançon, les pirates ne remettent pas le système à jour. Et s’ils le font, ils laissent un mouchard”, explique un bon connaisseur de ces sujets.

Une étude réalisée en 2021 par Cybereason auprès d'un peu plus de 1200 professionnels de la sécurité dans plusieurs pays, et notamment en France, a montré que 60% des organisations françaises ayant choisi de payer la rançon ont été ciblés dans les semaines suivantes.

Le sujet est d’autant plus épineux que si cette disposition était gravée dans le marbre de la loi, elle pourrait inciter tous les hackers de la planète à s’en prendre aux entreprises françaises. Aucun pays n'a de législation qui prévoit de payer les rançongiciels. Ce n'est que du cas par cas.

Traçabilité des cryptos

Certains expliquent toutefois que les cryptomonnaies pourraient aussi jouer un rôle déterminant pour mettre la main sur les hackers. “Si payer la rançon en crypto ne permet pas de mettre fin au hack, cela peut permettre de retrouver les responsables”, explique un assureur français.

L’avantage des cryptomonnaies est en effet qu’elles sont… traçables. Pour faire simple, c’est comme si on payait une rançon en marquant les billets de banque. On pourrait ensuite analyser les flux et ainsi remonter la filière 🔍.

Aux États-Unis, plusieurs groupes de hackers ont été pris à leur propre jeu avec les cryptos. Fin 2021, les assaillants du protocole de finance décentralisée Poly Network (600 millions de dollars dérobés) ont été contraints de rendre les fonds après qu’une enquête de traçabilité sur la blockchain a mis en lumière leur responsabilité dans l’opération.

L’exemple le plus emblématique est celui du groupe Lazarus qui depuis des années procède à des hacks en pagaille. Rien qu’en 2021, il aurait dérobé plus d’un milliard de dollars, indique la société américaine Chainalysis, ce qui a notamment permis de l’identifier. Seul problème : le groupe est nord-coréen, ce qui écarte toute procédure policière ou judiciaire pour récupérer l’argent…

Format
Analyses
Grégory Raymond

Grégory Raymond est directeur de la recherche et co-fondateur de The Big Whale. Spécialiste de l'intersection entre finance traditionnelle et actifs numériques, il couvre depuis 2017 les enjeux réglementaires, institutionnels et technologiques du secteur pour une audience de décideurs (banques, asset managers, fintechs). Il est également l'auteur de "Bitcoin & Cryptos : L'enjeu du siècle" (Talent Éditions, 2025), un ouvrage structuré autour d'entretiens avec des figures clés de l'écosystème.

See all articles ↗
Raphaël Bloch

Raphaël Bloch est CEO et cofondateur de The Big Whale, une plateforme indépendante d’intelligence de marché sur les actifs numériques, destinée aux acteurs des marchés financiers à travers une couverture éditoriale, de la recherche, un briefing hebdomadaire et des événements en présentiel. Il a cofondé The Big Whale en avril 2022. Au sein de la plateforme, il modère et anime des événements institutionnels réunissant banques, asset managers, custodians et fournisseurs d’infrastructure sur des sujets tels que le staking, l’on-chain yield, les stablecoins, le DeFi lending et la tokenisation. Il a modéré des panels lors d’événements organisés en partenariat avec Bitwise, Everstake, Gemini, Morpho, Hexarq, Coinhouse, Delubac, Franklin Templeton et l’Ethereum Foundation, à Londres et à Paris entre fin 2025 et mi-2026.

Avant de fonder The Big Whale, Bloch a travaillé comme journaliste aux Echos de décembre 2016 à mars 2020, puis à L’Express de mars 2020 à mars 2022. Il a également travaillé auparavant chez Reuters. Depuis septembre 2022, il exerce en parallèle le rôle de Business Analyst chez BFM Business. Il couvre le secteur crypto comme journaliste depuis 2016. Il est diplômé d’emlyon et du CFJ.

See all articles ↗
Abonnez-vous à The Drop
Le briefing hebdomadaire de référence sur les actifs numériques pour les institutions financières : analyses indépendantes, rapports, benchmarks et événements exclusifs, directement dans votre boîte mail.
Lu par 30 000 professionnels
12-13 novembre 2026

The Geneva Summit

Le Corporate Gateway : là où l'avenir de la finance onchain se décide.
300 décideurs triés sur le volet.
300
Décideurs
2 jours
Programme complet