Résilience aux ransomwares : pourquoi les entreprises allemandes paient moins souvent

8 min de lecture

Lorsque le groupe LockBit a exigé 50 millions de dollars de rançon à Continental, l’équipementier automobile n’a pas payé. Lorsque Akira a paralysé la Südwestfalen-IT et ramené 72 communes à l’ère analogique, personne n’a cédé. Et dans l’ensemble, les entreprises allemandes paient moins souvent que le reste du monde : 42 % contre 56 % au niveau mondial. Ce n’est pas un hasard. C’est le résultat d’une combinaison de recommandations du BSI, d’obligations de déclaration au titre du RGPD et d’une culture de sauvegarde (backup) unique en son genre en Europe.

L’essentiel

• Taux de paiement : 42 % des entreprises allemandes touchées ont versé une rançon – contre 56 % au niveau mondial (Sophos 2024)
• Menace : 58 % des entreprises allemandes ont été attaquées par un ransomware en 2024, 309 000 nouvelles variantes de logiciels malveillants par jour (BSI)
• Perte économique : 266,6 milliards d’euros de dommages totaux dus aux cyberattaques en Allemagne en 2024, dont 178,6 milliards dus à la cybercriminalité (Bitkom)
• Effet NIS2 : Depuis décembre 2025, les sauvegardes immuables, la segmentation du réseau et l’authentification multifacteur (MFA) sont obligatoires par la loi pour plus de 30 000 entreprises
• Cas Continental : 40 téraoctets exfiltrés, demande de 50 millions de dollars – aucun paiement effectué

Pourquoi l’Allemagne paie moins souvent

Selon le rapport Sophos State of Ransomware 2024 (basé sur un échantillon de 500 entreprises allemandes), 42 % des entreprises allemandes touchées ont versé une rançon – une baisse par rapport à 44 % l’année précédente. La moyenne mondiale s’élève à 56 %. L’enquête économique de Bitkom sur la protection des entreprises arrive à un chiffre encore plus bas : seuls 12 % des entreprises allemandes (y compris celles non attaquées) ont satisfait à une demande de rançon.

L’écart de 14 points de pourcentage par rapport à la moyenne mondiale s’explique par quatre facteurs mesurables.

Premièrement : la position du BSI et de la BKA est sans équivoque. Le BSI (Office fédéral de la sécurité informatique) déconseille expressément de payer une rançon. La justification : aucune garantie n’est offerte quant à la fourniture d’une clé de déchiffrement fonctionnelle, le paiement finance des structures criminelles et n’empêche pas les attaques répétées. Dans de nombreux autres pays, aucune autorité fédérale ne formule une recommandation aussi claire et autoritative. En Allemagne, cela crée une pression normative mesurable.

Deuxièmement : l’obligation de déclaration au titre du RGPD élimine le motif de dissimulation. En cas d’attaque par ransomware impliquant des données à caractère personnel, l’article 33 du RGPD impose une déclaration à l’autorité de contrôle dans les 72 heures. Le paiement d’une rançon ne dispense pas de cette obligation. Ainsi, un motif central du paiement discret disparaît : si l’incident doit de toute façon être déclaré, il n’y a aucun intérêt à le dissimuler par un paiement.

Troisièmement : les assurances cyber limitent les remboursements de rançons. Selon la BaFin (Autorité fédérale de surveillance des marchés financiers), les assureurs allemands ont remboursé des rançons uniquement dans une fourchette basse de dizaines de millions d’euros entre 2020 et 2022. Seuls 25 % des assureurs cyber allemands remboursent les rançons sans restriction, 56 % imposent des plafonds ou conditions. En 2024, le GDV (Association allemande des assureurs) a révisé ses conditions types : le remboursement de rançons reste une exception réglementée, non une couverture automatique.

Quatrièmement : la culture des sauvegardes est plus forte qu’ailleurs. Le BSI a établi la règle 3-2-1 (trois copies, deux supports différents, une copie hors ligne) comme standard. Les entreprises allemandes investissent plus que la moyenne dans l’infrastructure de sauvegarde – non seulement par conviction, mais parce que des normes telles que l’ISO 27001, le BSI IT-Grundschutz et des standards sectoriels comme TISAX exigent des sauvegardes fonctionnelles comme composant obligatoire.

Sources : Sophos State of Ransomware 2024, Bitkom Wirtschaftsschutz 2024, BSI Lagebericht 2024

Continental : 50 millions exigés, zéro payé

Le cas Continental en 2022 illustre la manière dont les grandes entreprises industrielles allemandes gèrent l’extorsion par ransomware. Le 1er juillet 2022, un attaquant a obtenu un accès au réseau via le téléchargement d’un navigateur par un employé. Pendant environ quatre semaines, l’attaquant s’est déplacé dans les systèmes sans être détecté. Résultat : environ 40 téraoctets de données exfiltrées. LockBit 3.0 a proposé ces données sur le darknet pour 50 millions de dollars américains.

Continental n’a pas payé. Le groupe a informé des dizaines de milliers de salariés du vol de données en février 2023, a coopéré avec les autorités et a accepté les coûts en réputation. Ce n’était pas la décision la plus facile, mais la bonne : les données avaient déjà été exfiltrées, un paiement n’aurait pas empêché de façon fiable leur publication et aurait marqué l’entreprise comme une cible prête à payer.

À noter : Continental n’a pas été chiffré classiquement. L’attaque reposait uniquement sur l’exfiltration de données suivie d’une tentative d’extorsion – une tendance qui s’est fortement intensifiée en 2024. Les attaquants ont compris que les entreprises disposant de sauvegardes fonctionnelles peuvent résister au chiffrement. C’est pourquoi ils misent de plus en plus sur le vol de données et menacent de les publier. Contre ce vecteur d’attaque, les sauvegardes seules ne suffisent pas. Il faut du Network Detection and Response (NDR), une segmentation rigoureuse du réseau et une réponse aux incidents rapide.

Le fait que Continental ait été compromis pendant quatre semaines sans être détecté révèle un autre problème fondamental en Allemagne : le délai moyen de détection (Mean Time to Detect, MTTD) est trop long dans de nombreuses entreprises. Quatre semaines suffisent non seulement à exfiltrer 40 téraoctets, mais aussi à installer des portes dérobées, à élever les privilèges d’accès et à compromettre l’ensemble du répertoire actif (Active Directory). Les investissements dans la détection et la surveillance sont au moins aussi importants que ceux dans la prévention – une leçon que Continental a apprise à ses dépens.

Südwestfalen-IT : l’anatomie d’un arrêt total

Le 30 octobre 2023, le groupe de ransomware Akira a frappé la Südwestfalen-IT – le prestataire informatique communal pour plus de 70 communes et administrations de district en Rhénanie du Nord-Westphalie. Le vecteur d’intrusion : une solution VPN sans authentification multifacteur (MFA), compromise vraisemblablement par attaque par force brute.

Les conséquences ont été désastreuses : 1 463 serveurs touchés, 871 dûment réinstallés, 592 réparés. 1,6 million de citoyens concernés, environ 20 000 postes de travail communaux hors service. Les bureaux d’accueil ne pouvaient plus délivrer de cartes d’identité, les immatriculations de véhicules étaient impossibles, les prestations sociales ne pouvaient plus être traitées. La restauration a duré une année entière – en octobre 2024, 98 % des services étaient de nouveau disponibles.

Les coûts supplémentaires directs supportés par la SIT : au moins 2,8 millions d’euros. Le district du Hochsauerland a évalué ses coûts à environ 1,5 million d’euros pour les quatre premiers mois. Le district de Siegen-Wittgenstein prévoit 1,4 million d’euros rien que pour 2025. Aucune rançon n’a été versée, selon les informations disponibles.

Ce cas illustre deux réalités simultanément : les organisations allemandes ne paient pas, même sous une pression extrême – c’est la bonne nouvelle. Mais les coûts de non-paiement sont considérables si l’infrastructure de sauvegarde et de restauration n’est pas conforme à l’état de l’art. Une solution VPN sans authentification multifacteur n’aurait jamais dû être en production en 2023. La communauté informatique le savait depuis des années, l’obligation de MFA était déjà ancrée dans les recommandations du BSI.

La Südwestfalen-IT est aussi un signal d’alerte pour l’ensemble du secteur de l’informatique communale. Selon le BSI, 80 % des cyberattaques signalées ciblent des PME – et les prestataires informatiques communaux sont souvent de facto des PME assumant la responsabilité d’un grand groupe. Ils gèrent des infrastructures critiques pour des centaines de milliers de citoyens, mais ne disposent ni du budget ni du personnel d’un groupe du DAX. NIS2 doit combler cet écart, mais il reste à savoir si les 30 000 entreprises nouvellement réglementées seront effectivement conformes d’ici 2026.

NIS2 : la résilience aux ransomwares devient une obligation légale

Depuis le 6 décembre 2025, la loi de transposition de NIS2 est entrée en vigueur en Allemagne – sans période de transition. Plus de 30 000 entreprises de 18 secteurs (à partir de 50 salariés ou d’un chiffre d’affaires de 10 millions d’euros) doivent désormais mettre en œuvre une série de mesures directement visant la résilience aux ransomwares.

La liste des obligations ressemble à un concept de protection contre les ransomwares du BSI : sauvegardes immuables et chiffrées (les « Immutable Backups » comme exigence explicite), segmentation du réseau, MFA pour les comptes administrateurs, analyse et gestion des risques, sécurité de la chaîne d’approvisionnement et formation de la direction. Les incidents de sécurité doivent être déclarés dans les 24 heures – une exigence plus stricte que le délai de 72 heures du RGPD.

Pour la résilience aux ransomwares, NIS2 signifie une offensive de qualité : ce qui était auparavant une bonne pratique devient désormais la loi. Les entreprises ayant déjà mis en œuvre le BSI IT-Grundschutz ou l’ISO 27001 sont bien préparées. Toutes les autres doivent désormais investir – non pas parce qu’elles le souhaitent, mais parce que la responsabilité personnelle des dirigeants est engagée en cas de non-conformité. Un cas comme celui de la Südwestfalen-IT – un VPN sans MFA – serait sous NIS2 non seulement une défaillance opérationnelle, mais aussi un risque de responsabilité personnelle pour la direction. Cela change fondamentalement la dynamique au sein des comités de direction : les investissements en cybersécurité ne sont plus des budgets informatiques optionnels, mais des dépenses obligatoires pour éviter une responsabilité personnelle.

La obligation de déclaration en 24 heures a un autre effet disciplinant : les entreprises doivent organiser leur détection d’incidents de manière à pouvoir identifier et classifier un incident dans les 24 heures. Chez Continental, la détection a pris quatre semaines. Sous NIS2, cela constituerait une non-conformité, car l’obligation de déclaration ne peut fonctionner que si la détection est opérationnelle. Cela oblige les entreprises à investir dans des centres opérationnels de sécurité (SOC) et des systèmes automatisés de détection d’anomalies – précisément les domaines où la différence entre une attaque évitée et un arrêt total se joue face aux ransomwares.

Ce que font mieux les entreprises allemandes – et où elles échouent

Mieux : Le taux de paiement baisse. La recommandation du BSI contre le paiement s’est imposée comme ligne directrice normative. L’obligation de déclaration au titre du RGPD rend la dissimulation inutile. Le secteur de l’assurance discipline via des plafonds et conditions. Et NIS2 fait des investissements dans les sauvegardes une obligation de conformité. C’est un système à quatre niveaux, dont l’effet combiné est plus puissant que chacune des mesures prises isolément.

Moins bien : La menace s’intensifie malgré tout. 309 000 nouvelles variantes de malwares par jour, 78 vulnérabilités nouvelles par jour, 22 groupes APT actifs en Allemagne. 80 % des cyberattaques signalées touchent des PME, qui n’ont souvent ni mis en œuvre le BSI-Grundschutz ni l’ISO 27001. Et les durées de restauration ne sont pas plus courtes qu’ailleurs : selon Sophos, l’indisponibilité typique en Allemagne est d’un mois, 92 % des victimes connaissent des interruptions d’activité.

À l’échelle mondiale, une tendance inquiétante s’observe : l’utilisation des sauvegardes pour la restauration a chuté selon Sophos en 2025 à un plus bas de quatre ans, à 53 % au niveau mondial. Ce n’est pas parce que les sauvegardes se sont détériorées, mais parce que les attaquants compromettent délibérément les systèmes de sauvegarde avant de chiffrer les systèmes de production. Les sauvegardes immuables – inchangeables et physiquement ou logiquement séparées du réseau de production – sont la seule réponse fiable à cela, et elles sont désormais obligatoires sous NIS2.

Un autre signe encourageant : 53 % des victimes de ransomware dans le monde ont pu se rétablir en 2025 dans la semaine – une nette augmentation par rapport à 35 % l’année précédente (Sophos 2025). Cela montre que les investissements dans les capacités de restauration portent leurs fruits, même si la menace devient simultanément plus complexe. Pour les entreprises allemandes, cela signifie : la combinaison de pression réglementaire (NIS2), d’orientation institutionnelle (BSI) et d’incitations assurantielles (BaFin/GDV) crée un écosystème qui favorise systématiquement la résilience aux ransomwares. Ce n’est pas un hasard, mais un résultat voulu politiquement et imposé réglementairement.

Les coûts de restauration en Allemagne, d’environ 1,6 million d’euros, sont inférieurs à la moyenne mondiale de 2,73 millions de dollars (Sophos 2024). C’est un avantage économique mesurable de la résilience accrue. Les entreprises qui ne paient pas et peuvent se rétablir plus rapidement économisent non seulement la rançon elle-même, mais aussi les coûts associés : primes d’assurance plus faibles, dommages à la réputation moindres et interruptions d’activité plus courtes.

Cinq mesures pour une véritable résilience aux ransomwares

1. Mettre en œuvre des sauvegardes immuables. La règle 3-2-1 ne suffit plus lorsque les attaquants ciblent délibérément les systèmes de sauvegarde. Les sauvegardes immuables, physiquement ou logiquement séparées du réseau de production, constituent la seule ligne de défense fiable en dernier recours. NIS2 en fait une obligation.

2. MFA partout – sans exception. L’attaque contre la Südwestfalen-IT aurait pu être évitée avec MFA sur la solution VPN. Tout accès administratif, tout accès à distance et tout compte privilégié doit être protégé par un second facteur. Ce n’est pas une recommandation, c’est une obligation NIS2.

3. Tester régulièrement la restauration. Une sauvegarde jamais testée n’est pas une sauvegarde. Une restauration complète doit être simulée au moins trimestriellement, y compris la question : à quelle vitesse pouvons-nous reprendre les activités commerciales ?

4. Détecter l’exfiltration de données. Le cas Continental montre : le chiffrement n’est plus le seul vecteur d’attaque. Le Network Detection and Response (NDR) et la prévention de fuite de données (DLP) doivent détecter les transferts de données inhabituels avant que 40 téraoctets ne quittent le réseau. L’investissement dans la détection est au moins aussi important que celui dans la prévention – car aucun périmètre n’est parfait, et la question n’est pas de savoir si un attaquant pénètre, mais à quelle vitesse il est découvert.

5. Élaborer et exercer un plan de réponse aux incidents. Ne pas attendre l’urgence pour décider qui appeler et quels systèmes restaurer en priorité. Le document de premiers secours du BSI pour les incidents de sécurité informatique est une bonne base, mais chaque entreprise a besoin d’un plan sur mesure avec des rôles clairs, des canaux de communication et des niveaux d’escalade. Une simulation (tabletop exercise) doit avoir lieu au moins une fois par an, impliquant la direction dans un scénario d’attaque par ransomware – y compris la question de savoir si et dans quelles circonstances un paiement serait envisagé. Cette décision doit être prise avant l’attaque, et non sous pression à trois heures du matin.

Questions fréquentes

Combien d’entreprises allemandes paient-elles une rançon pour ransomware ?

Selon le rapport Sophos State of Ransomware 2024, 42 % des entreprises allemandes touchées paient une rançon, contre 56 % au niveau mondial. L’enquête de Bitkom indique 12 % (base : toutes les entreprises, pas uniquement celles attaquées). Le taux de paiement diminue en Allemagne depuis plusieurs années.

Quel est le coût du ransomware pour les entreprises allemandes ?

Les coûts moyens de restauration s’élèvent à environ 1,6 million d’euros (hors rançon), selon Sophos. Le dommage total causé par la cybercriminalité en Allemagne s’élève à 178,6 milliards d’euros par an (Bitkom 2024). 31 % des entreprises signalent des dommages directs dus au ransomware.

Pourquoi les entreprises allemandes paient-elles moins que les autres pays ?

Quatre facteurs : la recommandation claire du BSI et de la BKA contre le paiement, l’obligation de déclaration au titre du RGPD (qui rend la dissimulation inutile), des conditions d’assurance cyber restrictives et une culture de sauvegarde plus développée grâce au BSI IT-Grundschutz et à l’ISO 27001.

Que demande NIS2 pour la protection contre les ransomwares ?

Des sauvegardes immuables et chiffrées, la segmentation du réseau, l’authentification multifacteur (MFA) pour les comptes administratifs, l’analyse des risques, la sécurité de la chaîne d’approvisionnement, la formation de la direction et une obligation de déclaration des incidents dans les 24 heures. Ces obligations s’appliquent sans période de transition depuis décembre 2025.

L’assurance cyber couvre-t-elle les paiements de rançon en Allemagne ?

De façon limitée. Seuls 25 % des assureurs cyber allemands remboursent les rançons sans restriction. 56 % imposent des plafonds ou conditions. La BaFin indique que les paiements de rançons par les assureurs se sont élevés globalement à une fourchette basse de dizaines de millions d’euros (2020-2022).

Source de l’image : Pexels / Brett Sayles (px:5480781)

À propos de l'auteur: Tobias Massow

Plus d'articles de Tobias Massow