Interdiction de payer en cas de ransomware : pas une solution miracle

Les ransomwares continuent actuellement de faire des victimes parmi les entreprises et autres organisations. Cela est normal sachant que pour éviter que leurs dossiers les plus sensibles tombent dans le domaine public, ces dernières n’ont d’autres choix que de payer les rançons qui leur sont demandées. Ce paiement pourrait cependant être interdit légalement si les législateurs écoutent la suggestion d’un certain nombre d’experts. Une telle interdiction ne pourra cependant pas constituer une solution miracle.

Des rançons de plus en plus élevées demandées par les cybercriminels

En termes de rentabilité, aucune technique de piratage informatique n’a le niveau des attaques aux ransomwares. Les cybercriminels sont conscients qu’une bonne partie de leurs victimes n’auront d’autres choix que de payer pour recouvrir leurs données et s’y concentrer ainsi de plus en plus. C’était le cas, cette année :

  • De Colonial Pipeline, qui a dû débourser 5 millions de dollars pour la restauration de son réseau suite à un piratage par la ransomware Darkside.
  • JBS USA, qui, pour avoir la clé de déchiffrement de son réseau, a été contraint de verser une rançon de 11 millions de dollars
  • De l’entreprise de logiciels de gestion Kaseya, qui, pour mettre fin à une attaque au ransomware affectant 1500 entreprises sur la planète, a été obligé de payer une rançon de 70 millions de dollars. 

Des cas qui confirment que n’importe quelle organisation et n’importe quel secteur peuvent être touchés. Pour mettre fin à ce fléau, certains experts proposent d’établir une loi interdisant de payer les cybercriminels.

Une interdiction de payer les rançons pour mettre un terme au cycle ?

Pourquoi une telle proposition ? Car pour ces experts, il sera difficile d’empêcher le renouvellement de ce cycle si on permet aux cybercriminels d’obtenir ce qu’ils souhaitent. L’idée a été exprimée au cours d’un colloque ayant lieu au Royaume-Uni rassemblant des spécialistes en défense et sécurité. Il n’y a rien à discuter autour de son bien-fondé. En effet, payer revient à financer un crime selon les propos de Jean Ellis, un des membres dirigeants de la Ransomware Task Force (RTF) de l’Institute for Security and Technology (IST). Et l’argent obtenu d’un crime pourra encore être réutilisé pour le financement d’autres crimes.

Reconnaissons tout de même que la question est bien plus compliquée qu’elle en a l’air. Il se pourrait que le blocage de leur réseau par les cybercriminels ait des conséquences plus graves pour la production et le fonctionnement des entreprises. Dans ces cas, ces dernières ne raisonnent pas sur le long terme, car voulant rapidement mettre un terme au blocage. D’autres ont même trouvé en leur assurant un moyen de ne pas se charger elles-mêmes du financement de la restauration de leur réseau.

A chaque organisation de renforcer sa sécurité

Face à cette proposition, les assureurs sont dans l’embarras. En effet, l’interdiction s’appliquera surtout à ceux qui remboursent les frais relatifs à la « réparation » d’une cyber-attaque subie par les entreprises qu’ils assurent. Pourtant, il n’y a aucune proposition pour contraindre ces entreprises à fléchir face aux chantages. Cela revient à un non-sens, car la décision de payer les cybercriminels suite à une attaque par ransomware revient surtout aux organisations. Les assureurs prônent ainsi une politique publique interdisant purement et simplement toute cession au chantage des pirates informatiques. Reconnaissons tout de même que les cybercriminels sauront toujours s’adapter en ciblant les entreprises les plus vulnérables, celles qui n’hésitent pas à braver l’interdiction pour recouvrir le contrôle de leur réseau. Alors, pourquoi ne pas penser à obliger les entreprises à renforcer leur sécurité ?