Le débat sur les ransomwares – payer ou ne pas payer ?

Avec une augmentation mondiale des attaques de ransomware, les gouvernements ont concentré leur attention sur les raisons de la popularité de ces attaques parmi les cybercriminels. La plupart ont conclu que c’est leur rentabilité. Comme Lindy Cameron, PDG du National Cyber ​​Security Centre du Royaume-Uni, l’a déclaré plus tôt en 2021 : « Les cybercriminels cherchent à gagner de l’argent, et plus une méthode réussit, plus elle sera utilisée. Il est important que nous fassions tout notre possible pour nous assurer qu’il ne s’agit pas d’un modèle criminel qui rapporte. »

De nombreux RSSI et professionnels de la cybersécurité ont tiré leur force de la vague d’engagements gouvernementaux pour défier les demandes de ransomware, et à juste titre. De l’autre côté de l’Atlantique, la récente attaque de ransomware sur Colonial Pipeline aux États-Unis a également inspiré une action décisive, avec le président Joe Biden obtenir un accord de principe de son homologue russe, Vladimir Poutine, pour lutter contre les attaques de ransomware sur les infrastructures critiques. Plus les gouvernements peuvent faire pour faire des ransomwares une entreprise criminelle inefficace, mieux c’est.

Mais nous devons faire attention à ne pas perdre de vue qui sont les criminels. De plus en plus, les agences de sécurité et les professionnels de la cybersécurité demandent la criminalisation des paiements par ransomware. Il est préoccupant que les experts dans le domaine s’opposent si catégoriquement à la négociation avec les attaquants de ransomware qu’ils seraient prêts à voir les cyber-victimes également pénalisées.

Considérez d’autres cas de vol et d’extorsion, et demandez si toutes les parties à de telles transactions, à la fois criminelles et victimes, devraient être punies. Pénaliseriez-vous le caissier de banque pour avoir remis la caisse enregistreuse ? Ou la personne qui rend son téléphone et son portefeuille au voleur dans la rue ?

En réalité, ceux qui recherchent des règles strictes sur la façon d’agir dans une crise de ransomware vont être déçus. La vraie réponse est que nous devons envisager les négociations sur les ransomwares au cas par cas. Parfois, les données menacées seront tout simplement trop importantes pour être abandonnées ; parfois la menace sera surestimée par les pirates informatiques ; et parfois, la nature, l’origine et l’étendue de la cyberattaque dicteront la réponse aux demandes.

En nous concentrant sur la paralysie du modèle commercial des ransomwares, nous risquons de blâmer les entreprises d’être victimes de cyberattaques incroyablement sophistiquées et, ce faisant, de perdre toute nuance dans le débat sur les ransomwares. Par exemple, à la suite du récent incident chez le producteur de viande américain JBS Foods, qui a entraîné un paiement de 11 millions de dollars au syndicat REvil, les gros titres de certains médias utilisaient un langage qui pouvait donner à un profane l’impression que la victime était en faute.

Faire honte aux entreprises pour avoir été victimes d’attaques et, dans certaines circonstances, payer des sommes exorbitantes pour récupérer des données hautement sensibles, n’est approprié que lorsque les entreprises ont été incompétentes ou négligentes dans leurs obligations en matière de cybersécurité. Cela peut parfois être le cas : les RSSI britanniques se plaignent souvent d’être les boucs émissaires des cyberattaques après des années de manque de ressources.

La plupart du temps, cependant, les entreprises font de leur mieux pour se surveiller et se protéger contre cette menace en évolution rapide. Il y a des choses que nous pouvons tous faire pour lutter contre la vague de ransomwares : le partage des connaissances, par exemple, est fondamental pour élaborer des stratégies proactives et préventives. Les discussions collaboratives entre les professionnels du secteur et les canaux ouverts avec les services de sécurité surveillant la menace peuvent également être un moyen utile pour toutes les entreprises de rester engagées et préparées.

Nous devons nous efforcer de limiter les dommages causés par les ransomwares, et devons toujours informer et engager les autorités compétentes. Mais prétendre que la question du ransomware est facile à répondre ne nous mène nulle part.