Ransomware : l’Australie impose la déclaration obligatoire des paiements

Depuis le 30 mai, l’Australie rend obligatoire la déclaration des paiements de ransomware. Un tournant pour la transparence face aux cyberattaques.

Une nouvelle étape majeure pour la cybersécurité en Australie. Depuis le 30 mai 2025, les entreprises australiennes réalisant plus de 3 millions de dollars australiens de chiffre d’affaires annuel doivent déclarer tout paiement de rançongiciel dans un délai de 72 heures. Cette obligation, issue du Cyber Security Act 2024, vise à combler le déficit de transparence qui freine la lutte contre ce fléau numérique.

Une réponse légale à une menace persistante

Avec plus de deux tiers des entreprises australiennes victimes d’au moins une attaque par rançongiciel au cours des cinq dernières années, la pression était forte pour réagir. Le gouvernement a donc adopté une nouvelle obligation : toute organisation du secteur privé atteignant le seuil fixé ou exploitant des infrastructures critiques est désormais tenue de rapporter à l’Australian Signals Directorate (ASD) tout paiement, qu’il soit en cryptomonnaie, en services ou en informations.

Cette mesure exclut les organismes publics, mais vise environ 6,5 % des entreprises enregistrées, soit près de la moitié du tissu économique national. Objectif : obtenir une vue d’ensemble sur un phénomène largement sous-déclaré. L’Australian Institute of Criminology estime que seul un cinquième des victimes informe les autorités.

Une collecte structurée et des objectifs multiples

Le rapport exigé par l’ASD doit détailler les sommes demandées et versées, le moyen de paiement, les échanges avec les cybercriminels et le contexte temporel de l’incident. Les entités concernées doivent s’exécuter dans les 72 heures suivant le paiement ou sa découverte.

L’enjeu est double : d’une part, renforcer les capacités d’analyse des autorités ; d’autre part, dissuader les victimes de céder au chantage. En rendant obligatoire la transparence, la loi espère casser le cercle vicieux de légitimation implicite des paiements. L’initiative s’inscrit dans une tendance mondiale : le Royaume-Uni envisage une interdiction des paiements pour les entités critiques, couplée à une obligation de déclaration préalable.

Des conséquences pour la gouvernance et la conformité

Les répercussions sont profondes pour les entreprises : outre le risque d’amende (jusqu’à seulement 19 800 dollars australiens pour non-respect), la nécessité de formaliser les procédures de gestion de crise devient impérative. Cette loi incite les conseils d’administration à revoir leurs plans de réponse aux incidents. Un changement de culture s’opère : les décisions de paiement, autrefois confinées aux négociateurs et aux juristes, sont désormais soumises à la responsabilité organisationnelle.

Dans un premier temps, les autorités se montrent pédagogiques : jusqu’à fin 2025, l’approche se veut incitative. L’objectif est de favoriser une adhésion progressive, tout en instaurant une culture de la résilience. Mais dès 2026, la réglementation se durcira, avec des contrôles renforcés.

Un appel à la transparence et au partage de données

Si la collecte d’informations constitue une avancée, plusieurs experts alertent : pour être efficace, la donnée doit être partagée. Plusieurs analystes déplorent l’absence d’obligation de publication anonymisée des rapports. Faute de visibilité publique, les entreprises et chercheurs en cybersécurité restent dans le flou sur les modes d’attaque, les secteurs ciblés ou les tendances émergentes.

Ouvrir ces données à l’écosystème permettrait de mieux orienter les dépenses de sécurité, de cibler les campagnes de sensibilisation et d’adapter les outils de détection. En somme, transformer une obligation administrative en levier de coopération nationale.

Vers un changement de paradigme global ?

Le modèle australien préfigure une évolution des politiques internationales. Dans un contexte où les paiements de rançongiciels auraient chuté de 35 % en 2024, notamment sous l’effet de l’opération contre LockBit et du retrait du groupe AlphV, l’encadrement réglementaire s’impose comme un instrument de pression efficace.

Cependant, la loi ne résout pas tout. Selon plusieurs professionnels de la réponse à incident, le véritable levier reste la capacité des organisations à prévenir l’intrusion. Renforcer les capacités de détection, protéger les systèmes critiques et disposer de plans de réponse solides reste essentiel. Le rapport de rançon n’est qu’une pièce du puzzle.

En imposant la déclaration, l’Australie change la donne. Encore faut-il que cette transparence devienne un catalyseur de coopération à grande échelle.

Pour en savoir plus

Les entreprises qui doivent déclarer les paiements de rançongiciels

L’obligation de déclaration des paiements de rançongiciels en Australie entre en vigueur le vendredi 30 mai. Image : Shutterstock Certaines entreprises australiennes doivent désormais signaler au gouvernement si elles ont payé une rançon après avoir été extorquées lors d’une attaque de rançongiciel, en vertu d’une nouvelle loi qui…

Lire la suite sur ia.acs.org.au

Signalement obligatoire des rançongiciels : excellent, mais dites-nous ce que vous en avez appris

Déclaration obligatoire des rançongiciels : une bonne chose, mais qu’en est-il des enseignements ? L’introduction de la déclaration obligatoire des paiements de rançongiciels en Australie est une avancée bienvenue. Mais elle n’atteindra son plein potentiel en tant que mécanisme de cybersécurité que si le gouvernement…

Lire la suite sur aspistrategist.org.au

(Re)découvrez également:

Cyberattaques en Suisse : l’obligation de signalement sous 24 heures dès le 1er avril 2025

À partir du 1er avril 2025, la Suisse impose un signalement obligatoire des cyberattaques sur infrastructures critiques pour renforcer la sécurité nationale.

Lire la suite sur dcod.ch