Les rançongiciels sont devenus l'une des menaces les plus redoutées pour les entreprises, notamment en raison des coûts liés à l'interruption des activités, qui dépassent souvent le montant de la rançon elle-même. Selon une étude de Vectra parue en 2019, un tiers des entreprises estime pouvoir surmonter une attaque sans subir de coûts significatifs.
Ann Neuberger, conseillère adjointe à la sécurité nationale des États-Unis pour la cybernétique et les technologies émergentes
Ann Neuberger, conseillère adjointe à la sécurité nationale des États-Unis pour les technologies cybernétiques et émergentes, a récemment souligné que les polices d'assurance, en particulier celles couvrant les remboursements de rançons, soutiennent les mêmes écosystèmes criminels qu'elles tentent de combattre. Elle appelle à mettre fin à cette pratique troublante et plaide pour l'instauration d'exigences de cybersécurité plus strictes comme condition pour bénéficier d'une couverture, afin de décourager les paiements de rançons.
Quarante pays membres d'une alliance dirigée par les États-Unis s'apprêtent à signer un engagement visant à ne jamais verser de rançon aux cybercriminels et à travailler à l'élimination du financement de ces pirates, a annoncé un haut responsable de la Maison-Blanche. Cette initiative internationale de lutte contre les rançongiciels intervient alors que les attaques augmentent à l'échelle mondiale, les États-Unis étant les plus touchés, avec 46 % des cas, selon Anne Neuberger. Elle a déclaré : « Tant qu'il y aura de l'argent pour les auteurs de ransomwares, le problème continuera de s'aggraver. »
L'accent mis sur la cyberassurance s'inscrit dans les efforts du gouvernement américain pour perturber les réseaux de rançongiciels. Selon un rapport récent du Bureau du directeur du renseignement national, plus de 2 300 incidents avaient déjà été enregistrés à la mi-2024, près de la moitié visant des organisations américaines, ce qui laisse présager que 2024 pourrait dépasser les 4 506 attaques signalées au niveau mondial en 2023.
Les analystes notent que, bien que payer la rançon puisse sembler être la solution la plus simple, cette décision est influencée par de nombreux facteurs, tels que la nature des données compromises, la disponibilité des sauvegardes, l'impact financier et les pressions éthiques et légales. En outre, les sanctions gouvernementales visant les criminels peuvent également jouer un rôle dans ces choix, mettant en avant la nécessité d'une coopération internationale pour perturber l'écosystème des rançongiciels.
Vectra, expert en détection des cyberattaques, souligne que les réseaux facilitent le chiffrement des fichiers, permettant aux cybercriminels d'infliger des dommages plus importants en s'attaquant aux applications métiers plutôt qu'à des appareils individuels. Des exemples concrets, comme celui du Lehigh Valley Health Network, illustrent les conséquences désastreuses du refus de paiement, entraînant des fuites de données et des recours collectifs coûteux. Même les entreprises qui choisissent de payer peuvent se retrouver dans des situations délicates, comme l’a démontré UnitedHealth Group, où des données ont été volées malgré le paiement d'une rançon. La crainte de financer des groupes criminels liés à des ennemis géopolitiques complique encore la décision des entreprises. Le contexte des cyberattaques soulève des enjeux éthiques et pratiques majeurs pour les entreprises.
En 2022, nous avons révélé que No More Ransom, lancé pour la première fois en 2016 par Europol, la police nationale néerlandaise (Politie) et plusieurs entreprises de cybersécurité, a évolué pour proposer 136 outils de déchiffrement gratuits pour 165 variantes de rançongiciel, notamment GandCrab, REvil et Maze. Les entreprises se montrent mal préparées à faire face aux rançongiciels : 35 % des victimes ont dû verser plus de 100 000 dollars en rançons, et 20 % ont payé entre 1 et 10 millions de dollars. D'après les données d'Arcserve, la moitié des décideurs informatiques interrogés par Dimensional Research ont été ciblés par des rançongiciels, parmi lesquels 35 % ont dû payer plus de 100 000 dollars.
Concernant la confiance dans leur capacité à récupérer les données perdues lors d'une attaque, moins d'un quart (23 %) des répondants se disent très confiants. Les petites entreprises affichent un taux de confiance encore plus bas, avec moins de 20 % se sentant très sûres de leur capacité à restaurer les données perdues. Caesars Entertainment et MGM Resorts, deux géants du secteur, ont été frappés par une vague mondiale de cyberattaques, qui a augmenté de 156 % au deuxième trimestre 2023. MGM, avec des revenus de 13 milliards de dollars, et Caesars, avec 11 milliards, attirent particulièrement les cybercriminels.
Caesars a récemment signalé à la SEC une intrusion par ingénierie sociale, résultant dans le vol de données personnelles de clients. Bien que Caesars ait choisi de payer une rançon, MGM a refusé, en continuant d'opérer normalement après l'attaque.
Faut-il payer les rançons ou investir dans la cybersécurité ?
Les choix faits par les deux entreprises mettent en lumière un dilemme complexe : bien que le paiement puisse sembler être une solution rapide, il pourrait inciter à de futures cyberattaques. Les experts recommandent aux entreprises de renforcer leur cybersécurité pour éviter de nouvelles intrusions. Le FBI déconseille de verser des rançons, car cela pourrait financer d'autres activités criminelles sans garantir la récupération des données.
Richard Caralli, expert en cybersécurité, souligne que les nouvelles réglementations de la SEC concernant la divulgation des cyberincidents compliquent la prise de décision des entreprises face aux rançongiciels. Ces exigences peuvent dissuader les entreprises de payer des rançons, par peur des conséquences juridiques et réputationnelles, bien que certaines privilégient un rétablissement rapide. De plus, avec l'introduction du Cyber Incident Reporting for Critical Infrastructure Act, même des entreprises non soumises à la SEC devront bientôt divulguer des paiements liés aux rançongiciels.
Les cybercriminels évoluent également, adoptant des attaques par exfiltration de données plutôt que de chiffrer les fichiers, car les entreprises améliorent leurs sauvegardes. Malgré la chute de gangs notoires comme ALPHV/BlackCat et Lockbit, de nouvelles menaces émergent rapidement. Les experts insistent sur l'importance de la prévention, suggérant d'allouer entre 1 et 3 % du chiffre d'affaires à la cybersécurité. Un plan de réponse aux incidents bien conçu est crucial pour s'assurer que le paiement des rançons soit un dernier recours.
Bien que la non-paiement des rançons pourrait diminuer l'attrait financier des cyberattaques, cela ne stopperait pas nécessairement les pirates, qui pourraient alors adopter d'autres méthodes criminelles.
Le débat autour des cyberattaques par rançongiciel et des stratégies de réponse, y compris la question du paiement des rançons, est particulièrement complexe. D'une part, il est essentiel de reconnaître la montée de ces menaces et l'impact dévastateur qu'elles peuvent avoir sur les entreprises, allant au-delà du simple coût financier pour toucher à la réputation et à la confiance des clients.
La position du gouvernement américain, qui cherche à dissuader le paiement des rançons, mérite d'être soutenue dans la mesure où cela pourrait effectivement briser le cycle de criminalité. En effet, en facilitant le paiement par des polices d'assurance, les entreprises renforcent un écosystème criminel qui profite de leur vulnérabilité. L'appel à des exigences de cybersécurité plus strictes est également pertinent ; des normes élevées pourraient aider à prévenir ces attaques en rendant les entreprises moins susceptibles de devenir des cibles.
Cependant, la réalité sur le terrain est souvent plus nuancée. Lorsque les entreprises sont confrontées à une attaque, elles peuvent ressentir une pression immense pour reprendre leurs opérations le plus rapidement possible. Dans ces moments critiques, le dilemme de payer ou non une rançon devient une question de survie commerciale, et les considérations éthiques peuvent être rapidement mises de côté.
De plus, le risque de dommages supplémentaires si la rançon n'est pas payée peut inciter certaines entreprises à prendre des décisions qu'elles jugent nécessaires pour leur continuité. Les coûts liés à la perte de données, à la réputation et aux recours juridiques potentiels peuvent rapidement dépasser le montant de la rançon.
La réponse à ce problème ne devrait pas reposer uniquement sur les mesures de dissuasion. Il est crucial d’adopter une approche holistique qui inclut des stratégies de prévention, une sensibilisation accrue aux risques, et des investissements continus dans la cybersécurité. En renforçant la résilience des entreprises face à ces menaces, on peut espérer réduire la fréquence des attaques et, par conséquent, la nécessité de faire face à ce dilemme moral et financier.
Sources : Office of the Director of National Intelligence, Ann Neuberger, conseillère adjointe à la sécurité nationale des États-Unis pour les cybertechnologies et les technologies émergentes, Comparitech
Et vous ?
Quel est votre avis sur le sujet ?
Êtes-vous en faveur ou opposé au paiement des rançons ?
Comment les entreprises peuvent-elles évaluer le risque de payer une rançon par rapport à celui de subir des pertes importantes dues à une attaque ?
Voir aussi :
Le groupe BlackCat Ransomware s'effondre après un paiement suspect de 22 millions de dollars par Change Healthcare, des preuves suggèrent que le groupe aurait orchestré un faux démantèlement
Deux casinos, deux réponses aux rançongiciels chez Caesars et MGM : l'un a payé, l'autre non, payer ou ne pas payer, telle est la question
1,5 million de personnes ont récupéré leurs fichiers sans payer les cybercriminels. Le projet No More Ransom propose des outils gratuits permettant de déchiffrer 165 familles de rançongiciel