Les gouvernements du monde entier expriment des proccupations face la hausse des cyberattaques par ranongiciel et tentent de dcourager le paiement des ranons, qui contribue perptuer un cycle de criminalit. Ann Neuberger, conseillre la scurit nationale des tats-Unis, met en avant le fait que les polices d’assurance lies ces paiements compliquent la situation et plaide pour l’tablissement de normes de cyberscurit plus rigoureuses. l’approche de 2024, qui semble tre une anne particulirement problmatique, les entreprises sont confrontes un choix difficile : rgler la ranon ou faire face des dommages supplmentaires.
Les ranongiciels sont devenus l’une des menaces les plus redoutes pour les entreprises, notamment en raison des cots lis l’interruption des activits, qui dpassent souvent le montant de la ranon elle-mme. Selon une tude de Vectra parue en 2019, un tiers des entreprises estime pouvoir surmonter une attaque sans subir de cots significatifs.
Ann Neuberger, conseillre adjointe la scurit nationale des tats-Unis pour la cyberntique et les technologies mergentes
Ann Neuberger, conseillre adjointe la scurit nationale des tats-Unis pour les technologies cyberntiques et mergentes, a rcemment soulign que les polices d’assurance, en particulier celles couvrant les remboursements de ranons, soutiennent les mmes cosystmes criminels qu’elles tentent de combattre. Elle appelle mettre fin cette pratique troublante et plaide pour l’instauration d’exigences de cyberscurit plus strictes comme condition pour bnficier d’une couverture, afin de dcourager les paiements de ranons.
Quarante pays membres d’une alliance dirige par les tats-Unis s’apprtent signer un engagement visant ne jamais verser de ranon aux cybercriminels et travailler l’limination du financement de ces pirates, a annonc un haut responsable de la Maison-Blanche. Cette initiative internationale de lutte contre les ranongiciels intervient alors que les attaques augmentent l’chelle mondiale, les tats-Unis tant les plus touchs, avec 46 % des cas, selon Anne Neuberger. Elle a dclar : Tant qu’il y aura de l’argent pour les auteurs de ransomwares, le problme continuera de s’aggraver.
L’accent mis sur la cyberassurance s’inscrit dans les efforts du gouvernement amricain pour perturber les rseaux de ranongiciels. Selon un rapport rcent du Bureau du directeur du renseignement national, plus de 2 300 incidents avaient dj t enregistrs la mi-2024, prs de la moiti visant des organisations amricaines, ce qui laisse prsager que 2024 pourrait dpasser les 4 506 attaques signales au niveau mondial en 2023.
Les analystes notent que, bien que payer la ranon puisse sembler tre la solution la plus simple, cette dcision est influence par de nombreux facteurs, tels que la nature des donnes compromises, la disponibilit des sauvegardes, l’impact financier et les pressions thiques et lgales. En outre, les sanctions gouvernementales visant les criminels peuvent galement jouer un rle dans ces choix, mettant en avant la ncessit d’une coopration internationale pour perturber l’cosystme des ranongiciels.
Vectra, expert en dtection des cyberattaques, souligne que les rseaux facilitent le chiffrement des fichiers, permettant aux cybercriminels d’infliger des dommages plus importants en s’attaquant aux applications mtiers plutt qu’ des appareils individuels. Des exemples concrets, comme celui du Lehigh Valley Health Network, illustrent les consquences dsastreuses du refus de paiement, entranant des fuites de donnes et des recours collectifs coteux. Mme les entreprises qui choisissent de payer peuvent se retrouver dans des situations dlicates, comme la dmontr UnitedHealth Group, o des donnes ont t voles malgr le paiement d’une ranon. La crainte de financer des groupes criminels lis des ennemis gopolitiques complique encore la dcision des entreprises. Le contexte des cyberattaques soulve des enjeux thiques et pratiques majeurs pour les entreprises.
En 2022, nous avons rvl que No More Ransom, lanc pour la premire fois en 2016 par Europol, la police nationale nerlandaise (Politie) et plusieurs entreprises de cyberscurit, a volu pour proposer 136 outils de dchiffrement gratuits pour 165 variantes de ranongiciel, notamment GandCrab, REvil et Maze. Les entreprises se montrent mal prpares faire face aux ranongiciels : 35 % des victimes ont d verser plus de 100 000 dollars en ranons, et 20 % ont pay entre 1 et 10 millions de dollars. D’aprs les donnes d’Arcserve, la moiti des dcideurs informatiques interrogs par Dimensional Research ont t cibls par des ranongiciels, parmi lesquels 35 % ont d payer plus de 100 000 dollars.
Concernant la confiance dans leur capacit rcuprer les donnes perdues lors d’une attaque, moins d’un quart (23 %) des rpondants se disent trs confiants. Les petites entreprises affichent un taux de confiance encore plus bas, avec moins de 20 % se sentant trs sres de leur capacit restaurer les donnes perdues. Caesars Entertainment et MGM Resorts, deux gants du secteur, ont t frapps par une vague mondiale de cyberattaques, qui a augment de 156 % au deuxime trimestre 2023. MGM, avec des revenus de 13 milliards de dollars, et Caesars, avec 11 milliards, attirent particulirement les cybercriminels.
Caesars a rcemment signal la SEC une intrusion par ingnierie sociale, rsultant dans le vol de donnes personnelles de clients. Bien que Caesars ait choisi de payer une ranon, MGM a refus, en continuant d’oprer normalement aprs l’attaque.
Faut-il payer ou investir dans la cyberscurit ?
Les choix faits par les deux entreprises mettent en lumire un dilemme complexe : bien que le paiement puisse sembler tre une solution rapide, il pourrait inciter de futures cyberattaques. Les experts recommandent aux entreprises de renforcer leur cyberscurit pour viter de nouvelles intrusions. Le FBI dconseille de verser des ranons, car cela pourrait financer d’autres activits criminelles sans garantir la rcupration des donnes.
Richard Caralli, expert en cyberscurit, souligne que les nouvelles rglementations de la SEC concernant la divulgation des cyberincidents compliquent la prise de dcision des entreprises face aux ranongiciels. Ces exigences peuvent dissuader les entreprises de payer des ranons, par peur des consquences juridiques et rputationnelles, bien que certaines privilgient un rtablissement rapide. De plus, avec l’introduction du Cyber Incident Reporting for Critical Infrastructure Act, mme des entreprises non soumises la SEC devront bientt divulguer des paiements lis aux ranongiciels.
Les cybercriminels voluent galement, adoptant des attaques par exfiltration de donnes plutt que de chiffrer les fichiers, car les entreprises amliorent leurs sauvegardes. Malgr la chute de gangs notoires comme ALPHV/BlackCat et Lockbit, de nouvelles menaces mergent rapidement. Les experts insistent sur l’importance de la prvention, suggrant d’allouer entre 1 et 3 % du chiffre d’affaires la cyberscurit. Un plan de rponse aux incidents bien conu est crucial pour s’assurer que le paiement des ranons soit un dernier recours.
Bien que la non-paiement des ranons pourrait diminuer l’attrait financier des cyberattaques, cela ne stopperait pas ncessairement les pirates, qui pourraient alors adopter d’autres mthodes criminelles.
Le dbat autour des cyberattaques par ranongiciel et des stratgies de rponse, y compris la question du paiement des ranons, est particulirement complexe. D’une part, il est essentiel de reconnatre la monte de ces menaces et l’impact dvastateur qu’elles peuvent avoir sur les entreprises, allant au-del du simple cot financier pour toucher la rputation et la confiance des clients.
La position du gouvernement amricain, qui cherche dissuader le paiement des ranons, mrite d’tre soutenue dans la mesure o cela pourrait effectivement briser le cycle de criminalit. En effet, en facilitant le paiement par des polices d’assurance, les entreprises renforcent un cosystme criminel qui profite de leur vulnrabilit. L’appel des exigences de cyberscurit plus strictes est galement pertinent ; des normes leves pourraient aider prvenir ces attaques en rendant les entreprises moins susceptibles de devenir des cibles.
Cependant, la ralit sur le terrain est souvent plus nuance. Lorsque les entreprises sont confrontes une attaque, elles peuvent ressentir une pression immense pour reprendre leurs oprations le plus rapidement possible. Dans ces moments critiques, le dilemme de payer ou non une ranon devient une question de survie commerciale, et les considrations thiques peuvent tre rapidement mises de ct.
De plus, le risque de dommages supplmentaires si la ranon n’est pas paye peut inciter certaines entreprises prendre des dcisions qu’elles jugent ncessaires pour leur continuit. Les cots lis la perte de donnes, la rputation et aux recours juridiques potentiels peuvent rapidement dpasser le montant de la ranon.
La rponse ce problme ne devrait pas reposer uniquement sur les mesures de dissuasion. Il est crucial dadopter une approche holistique qui inclut des stratgies de prvention, une sensibilisation accrue aux risques, et des investissements continus dans la cyberscurit. En renforant la rsilience des entreprises face ces menaces, on peut esprer rduire la frquence des attaques et, par consquent, la ncessit de faire face ce dilemme moral et financier.
Sources : Office of the Director of National Intelligence, Ann Neuberger, conseillre adjointe la scurit nationale des tats-Unis pour les cybertechnologies et les technologies mergentes, Comparitech
Et vous ?
Quel est votre avis sur le sujet ?
tes-vous en faveur ou oppos au paiement des ranons ?
Comment les entreprises peuvent-elles valuer le risque de payer une ranon par rapport celui de subir des pertes importantes dues une attaque ?
Voir aussi :