Payer la rançon en cas de cyberattaque : vraie ou fausse bonne idée ?

En autorisant le paiement des rançons suite à une cyberattaque, le gouvernement veut limiter les dépôts de bilan des entreprises et avoir une plus grande visibilité sur ce fléau. Mais payer alimente ce monde parallèle dont la professionnalisation et l’ampleur ne cessent de croître. Pourquoi payer, est finalement contre-productif ?

 

Faut-il, oui ou non, payer la rançon en cas de cyberattaque ? Si, jusqu’à l’automne dernier, la loi interdisait aux entreprises le paiement des rançons, depuis septembre une disposition de la loi d’orientation et de programmation du ministère de l’Intérieur les autorise. Une décision annoncée par Bruno Le Maire, le 7 septembre dernier, qui prend le contre-pied des recommandations de l’ANSSI (Agence nationale de la sécurité des systèmes d’information), organisme rattaché au secrétaire général de la défense et de la sécurité nationale et référent en matière de cybersécurité. L’ANSSI est en effet formel : ne jamais payer ! Alors, pourquoi une telle décision du gouvernement ?

Chaque année, les cyberattaques par ransomware sont plus nombreuses. Selon Cybermalveillance.gouv.fr les demandes d’assistance déposées par les entreprises sur le site étaient de 173 000 en 2021, et 250 000 au 30 novembre 2022. Les montants des demandes de rançons sont également chaque année en hausse de 50% avec en 2021 un coût moyen de 6 400 euros. Les entreprises sont donc toujours plus nombreuses à être victimes et les montants toujours plus élevés. Conséquences : les dépôts de bilan suite à l’impossibilité d’exercer leur activité et de payer la rançon pour restaurer leurs données augmentent. Aussi, pour éviter de telles situations, le gouvernement opte pour la légalisation du paiement des rançons via les assureurs. En contrepartie la loi contraint l’entreprise à déposer une plainte auprès de la police sous 48h. Mais cette stratégie est-elle une vraie ou une fausse bonne idée ?

 

Les dégâts du paiement de la rançon

Si le souhait de limiter les dépôts de bilan est noble, le paiement des rançons présente plusieurs inconvénients. Le premier : alimenter financièrement une criminalité organisée. Car, derrière ces cybercriminels se cachent souvent des entreprises bien organisées aux activités mafieuses liées aux trafics d’armes et de drogue. Payer les rançons participe donc à la montée en puissance de tout cet écosystème parallèle au pouvoir de plus en plus prégnant dans le monde réel.

Deuxième inconvénient : la réputation de l’entreprise victime. Dans le monde de la cybercriminalité, une entreprise qui paie devient une proie intéressante pour les cybercriminels. Elle a donc plus de chance d’être réattaquée qu’une entreprise qui n’a pas cédé à la menace.

Troisièmement : la professionnalisation de la cybercriminalité. Si dans leur version initiale, le ransomware 1.0 se contentait de chiffrer les données, le ransomware 2.0, les chiffre, les exfiltre et les diffuse. Une technicité de traitement des données de plus en plus pointue conduisant les hackers à créer des sociétés organisées par activité :  chiffrement, récupération, diffusion mais aussi support technique pour aider les entreprises à restaurer leurs données. Car, eux aussi, ont une réputation à soigner ! Et pour cause : un gang incapable de redonner accès aux données à une entreprise qui a payé sa rançon, perd toute sa crédibilité. Des équipes techniques cybercriminelles accompagnent donc leurs victimes dans la réparation de ce qu’elles leur ont infligé. Une situation totalement ubuesque qui illustre bien la professionnalisation d’une activité qui n’est plus aujourd’hui pratiquée par des développeurs animés par quelques causes éthiques mais plutôt par des organisations structurées de plus en plus tentaculaires et motivées par l’appât du gain.

 

Les cyber-assurances confortent les cybercriminels

Quid du rôle des compagnies d’assurance dans cette nouvelle disposition de loi ? En leur confiant la responsabilité de payer la rançon, le gouvernement clarifie leur rôle et encourage le développement de contrats de cyber-assurance. Mais si les grands groupes ont déjà de telles assurances, les PME sont souvent dans l’incapacité de remplir les conditions draconiennes de cybersécurité (Politique stricte de patching et de mise à jour, réaliser des sauvegardes à minima toutes les semaines, mise en place de l’authentification à deux facteurs, etc.) imposées par ce type de police d’assurance. La meilleure solution reste donc d’investir dans une organisation et des solutions de cybersécurité performantes. Car comme dit le proverbe « mieux vaut prévenir que guérir », même si, en matière de cybersécurité, le risque zéro n’existe pas.

Animés d’une plus grande confiance de voir leur demande de rançons honorée, les cybercriminels ont accru, de façon significative, le volume de leurs attaques sur les entreprises françaises depuis l’annonce de cette loi. Un argument supplémentaire pour abonder dans le sens de ne jamais jouer le jeu des cybercriminels, l’argent étant leur première motivation.

Tribune rédigée par Mikko Hyppönen, Chief Research Officer de WithSecure.

 

<<< A lire également : Les cyberattaques ont augmenté de 50%. A nouvelles menaces, nouvelles ripostes >>>