L’Australie impose la déclaration obligatoire des paiements de rançon
Depuis fin mai, les entreprises australiennes dont le chiffre d’affaires annuel dépasse 3 millions de dollars doivent déclarer dans les 72 heures tout paiement de rançon effectué à la suite d’une attaque par ransomware. Une mesure inédite, qui vise à renforcer la transparence face à un phénomène largement sous-déclaré.
Depuis le 30 mai 2025, les entreprises australiennes dont le chiffre d’affaires annuel dépasse 3 millions de dollars australiens sont tenues de déclarer tout paiement effectué dans le cadre d'une attaque par ransomware. La mesure, introduite par le Cyber Security Act 2024, entend améliorer la visibilité des autorités sur un phénomène largement sous-déclaré.
Le signalement doit être effectué dans un délai de 72 heures à l’autorité compétente, l’Australian Signals Directorate (ASD). Les entreprises doivent fournir un rapport détaillant la somme versée, les modalités de paiement, la chronologie de l’incident et les échanges avec les cybercriminels. Les données resteront confidentielles, mais pourront être partagées avec les autorités si nécessaire.
Jusqu’à fin 2025, le gouvernement australien mise sur une approche incitative. Aucune sanction lourde ne sera appliquée à court terme. À partir de 2026, toutefois, les entreprises non conformes pourront se voir infliger des amendes pouvant atteindre 19’800 dollars australiens.
Une majorité d’entreprises cèdent au chantage
Malgré les appels des gouvernements à ne pas céder au chantage, de nombreuses entreprises continuent de payer. L’édition 2024 du Global Data Protection Index de Dell indiquait que 86% des victimes d’un ransomware déclaraient avoir payé une rançon, totalement, partiellement ou par le biais d’une assurance.
L’objectif du dispositif australien est de mieux documenter ces pratiques. Selon l’Institut australien de criminologie, seule une entreprise victime sur cinq signale un paiement aux autorités, rendant la menace difficile à mesurer.
Une mesure sous observation
Dans une analyse publiée sur dcod.ch, Marc Barbezat, directeur de la sécurité numérique de l’État de Vaud, estime que ce modèle australien pourrait marquer une inflexion des politiques internationales. Selon lui, un encadrement réglementaire de ce type peut devenir un instrument de pression efficace. Il rappelle toutefois: «Le rapport de rançon n’est qu’une pièce du puzzle.»
