Ils touchent toute sorte d’organisations, des PME aux centres hospitaliers en pleine épidémie de Covid-19, en passant par les grands groupes et les collectivités locales. Véritable fléau, les rançongiciels sont devenus la menace informatique la plus sérieuse qui pèse aujourd’hui sur les entreprises et les institutions.
Selon CrowdStrike, la France est aujourd’hui le troisième pays le plus touché au monde, après l’Inde et l’Australie, par ce type d’attaques consistant à installer à distance un logiciel sur un ordinateur pour rendre illisibles ses données, avant d’exiger une rançon pour les restituer.
Mais depuis plusieurs mois des voix s’élèvent, et non des moindres, pour dénoncer l’attitude des victimes, considérant qu’elles ont leur part de responsabilité dans la montée en puissance d’un phénomène devenu une machine infernale.
« Aujourd’hui, la France est l’un des pays les attaqués en matière de ransomware. Pourquoi ? Parce que nous payons trop facilement les rançons ! », a ainsi lancé Johanna Brousse, vice-procureur chargée des dossiers de cybersécurité au parquet de Paris, lors d’une audition au Sénat le 15 avril dernier.
De quelques centaines d’euros à quelques millions
D’après Wavestone, 20 % des demandes de rançons reçues par les multinationales françaises sont réglées. L’affaire est cependant complexe. Car si des entreprises en arrivent là, c’est parce qu’elles font l’analyse que c’est, à l’heure actuelle, leur meilleure défense…
Exigées sous forme de cryptomonnaie, ces rançons vont de quelques centaines d’euros à quelques millions et posent, à chaque fois, un cas de conscience aux dirigeants d’entreprises. S’ils payent, ils peuvent espérer retrouver en clair leurs données rendues illisibles par le rançongiciel et sortir rapidement l’entreprise de sa paralysie.
« Pour un patron de PME, payer est un non-choix puisque chaque jour de perdu est un jour de chômage pour ses salariés », explique Erwan Brouder, le patron du cabinet d’audit BSSI.Sachant qu‘il n’est cependant pas rare que le cybercriminel empoche l’argent sans rendre les données…
Un système malsain
Les entreprises ne sont pas les seules responsables. Beaucoup pointent aujourd’hui du doigt le rôle des assureurs dont Guillaume Poupard, le directeur général de l’Anssi, a récemment dénoncé le « jeu trouble » poussant la victime à payer la rançon. L’assureur préfère cela plutôt que de rembourser les dégâts, beaucoup plus coûteux, causés par les pertes de données…
Les compagnies d’assurances ont même parfois recours à des négociateurs de rançon. Des « intermédiaires un peu gris » selon Guillaume Poupard, à qui « il faut faire la chasse » car « ils font un business du paiement des rançons et vont se rémunérer parfois sur leur capacité à négocier la baisse des rançons ». « C’est extrêmement malsain ! »
« Il y a bien des assureurs, plutôt anglo-saxons, qui donnent une garantie de paiement des rançons, mais certains assureurs français se sont aussi prononcés contre le paiement », précise Philippe Cotelle, président de la commission cyber de l’Association pour le management des risques et des assurances de l’entreprise.
En France, aucun cadre juridique n’interdit de payer les rançons des cyberattaques. « La préconisation des pouvoirs publics est de ne pas payer, mais ce n’est pas écrit dans le droit », souligne Garance Mathias, avocate spécialisée en sécurité informatique. Et la plainte d’une victime reste recevable si celle-ci a obtempéré à la demande de l’attaquant.
Sévir contre les payeurs de rançons
Aux Etats-Unis, on condamne désormais aussi les victimes. « Ils commencent à traiter de la même manière l’attaquant et le payeur », constate Garance Mathias, en référence à une note de la direction du Trésor datée d’octobre 2020. Ce document décourage formellement les entreprises américaines de payer la rançon, rappelant qu’elles s’exposent à des accusations de financement d’activités menaçant la sécurité nationale.
Pas sûr qu’interdire le paiement de rançongiciels soit une solution non plus. Selon Gérome Billois, chez Wavestone, « dans la grande majorité des cas, payer n’accélère pas la reprise d’activité. Mais cela a du sens quand la survie de l’entreprise est en jeu ou quand rentrer dans la négociation d’une rançon permet aux enquêteurs de tracer les criminels ».
LEAVE A COMMENT