Une filiale américaine compromise, une rançon versée sans en avertir le gouvernement, et une doctrine nationale de cybersécurité ignorée. L’affaire Ruag, relayée notamment par la RTS, révèle les tensions profondes entre autonomie de gestion et cohérence des politiques publiques face au ransomware.
Une attaque contenue, un choix qui ne l’est pas
À l’automne 2025, le groupe Akira a piraté Ruag LLC, filiale américaine du groupe d’armement suisse basée en Virginie. Les attaquants ont déployé une stratégie de double extorsion : exfiltration de données sensibles et chiffrement des systèmes, avec au menu des informations relatives au personnel, des contrats militaires et des protocoles de manipulation d’explosifs. Ruag avait alors évoqué un simple “incident de sécurité”, se prévalant de l’isolement technique de sa filiale pour minimiser l’impact sur le reste du groupe.
Six mois plus tard, la réalité se précise. Le président du conseil d’administration Jürg Rötheli a confirmé sur les ondes de la radio SRF que Ruag avait cédé aux exigences du groupe criminel : “Nous avons payé un petit montant et nous avons heureusement récupéré toutes les données.” Aucun chiffre n’a été communiqué. À titre de repère, une étude néerlandaise publiée en 2025 évalue la demande initiale moyenne d’Akira à 390 000 dollars, tandis que la société britannique Sophos chiffre à environ 1,2 million de dollars le montant moyen des rançons exigées à l’échelle mondiale cette même année, selon des données relayées notamment par la RTS.
Une décision prise hors de tout cadre fédéral
La décision a été prise à la suite d’analyses internes et avec l’appui d’experts juridiques américains, dans le cadre de l’autonomie de gestion de l’entreprise. Ce périmètre décisionnel restreint explique sans doute l’absence de concertation avec la tutelle : le Département fédéral de la défense, représentant la Confédération en tant que propriétaire de Ruag, n’avait pas été informé en amont du paiement et a indiqué ne pas souhaiter commenter le fait qu’une entreprise fédérale ait versé une rançon.
Ce silence institutionnel contraste avec la fermeté de la doctrine nationale. L’Office fédéral de la cybersécurité, Fedpol et le Ministère public de la Confédération avaient pourtant déjà recommandé, face à la vague d’attaques menée par Akira en 2025, de ne pas céder aux exigences des groupes de ransomware. La RTS rappelle par ailleurs qu’Akira a ciblé quelque 200 entreprises suisses, tandis que 24 000 PME ont subi des ransomwares ces trois dernières années. Le conseiller national Franz Grüter a réclamé l’ouverture d’une enquête, estimant que tout paiement de rançon envoie aux cybercriminels le signal que leurs tentatives d’extorsion en valent la peine. Son collègue Gerhard Andrey appelle pour sa part à renforcer la cybersécurité de Ruag pour éviter qu’une telle attaque ne se reproduise. L’affaire cristallise une question que les entreprises publiques comme privées ne peuvent plus esquiver : à quel moment la gestion de crise individuelle cesse-t-elle d’être une affaire interne pour devenir un signal envoyé à l’ensemble de l’écosystème criminel ?
