Une photo d’un chat, les yeux fermés, qui se frotte la tête contre un poteau de bois. Voici comment le chef de l’Anssi, Guillaume Poupard, a commenté sur les réseaux sociaux l’annonce de l’encadrement de l’indemnisation, par les assureurs, du paiement des cyber-rançons. Si l’on ignore ce que le directeur général de l’Anssi voulait précisément dire, de nombreux spécialistes en sécurité informatique se sont inquiétés d’une mesure qui risquerait d’entretenir un cercle vicieux.
Malgré les avertissements qui leur sont adressés, de nombreuses victimes paient en effet les rançons demandées par les gangs de rançongiciels, ces logiciels malveillants qui chiffrent vos données pour vous extorquer de l’argent. Elles pensent que c’est le moyen le plus rapide de restaurer leur réseau. La pression est d’autant plus forte que les cybercriminels menacent également de divulguer les données volées.
Trop d’attaques passées sous silence
Mais le paiement des rançons signifie que le cycle d’attaques se poursuit, les gangs de rançongiciels utilisant leurs gains mal acquis pour financer des attaques plus ambitieuses. Alors, faut-il craindre que l’indemnisation du paiement par l’assurance favorise les cybercriminels ?
La réponse n’est pas aussi simple. Tout d’abord, comme dans tous les pays de l’OCDE, le remboursement du paiement d’une rançon en France était déjà possible. La réforme en cours encadre désormais ce paiement. Il sera en effet conditionné au dépôt d’une plainte. Or, ce n’est pas un point anecdotique. Car de trop nombreuses attaques par rançongiciel, le problème de cybersécurité le plus important auquel nous sommes confrontés aujourd’hui, sont tout simplement passées sous silence.
Actuellement, il est difficile de se faire une idée précise de ce qui se passe réellement. Même lorsque les entreprises reconnaissent avoir été victimes d’une cyberattaque, elles restent très souvent vagues sur ce qui s’est passé et semblent très réticentes à décrire un incident comme une attaque par rançongiciel.
Une communication vague
Une « cyberattaque sérieuse », un « cyberincident qui a causé des perturbations » et « des données chiffrées par un tiers ». Ce ne sont là que quelques-unes des déclarations faites par les victimes d’attaques par rançongiciel pour décrire ce qui s’est passé, mais sans jamais mentionner ce terme.
Certaines victimes finissent par être plus ouvertes sur ce qui s’est passé, mais seulement des mois ou des années après l’incident. D’autres ne reconnaissent jamais publiquement qu’il s’agissait d’un rançongiciel.
Il est frustrant de ne pas pouvoir se faire une idée complète et claire de ce qui se passe, même si, en lisant entre les lignes des vagues déclarations sur un « cyberincident sophistiqué » qui a « perturbé les services », il est clair qu’il s’agit d’une attaque par rançongiciel.
Retour d’expérience pourtant instructif
Ce manque de transparence est préjudiciable à tous. Certaines victimes révèlent très rapidement qu’il s’agit d’un rançongiciel. J’ai interviewé des victimes d’attaques qui, une fois l’incident passé, sont prêtes à s’exprimer officiellement sur ce qui s’est passé. Il est intéressant d’entendre les directeurs de systèmes d’information et les responsables de la sécurité informatique s’ouvrir sur ce qui s’est passé.
Le point commun entre ces responsables de la cybersécurité qui communiquent est qu’ils veulent contribuer à éviter que d’autres ne deviennent la prochaine victime. Leur parole est ainsi centrée sur les leçons qu’ils ont tirées du renforcement des cyberdéfenses pour prévenir de futurs incidents.
Il s’agit par exemple de mettre à jour leurs systèmes, de mettre en place l’authentification multifactorielle et de faire régulièrement des sauvegardes. Autant de mesures qui peuvent contribuer à stopper les attaques par rançongiciel. A ce sujet, le meilleur moment pour agir est avant que l’attaque ne se produise.
Changement des mentalités
Les rançongiciels ne sont pas seulement un problème technologique. En fin de compte, ces cyberattaques ont un impact global. Or, nous sommes souvent laissés dans l’ignorance des raisons pour lesquelles les services dont nous dépendons ne fonctionnent pas. Dans certains cas, il semble que la situation soit déjà en train de changer.
Récemment, Los Angeles Unified (LAUSD), le deuxième plus grand district scolaire des Etats-Unis, a été frappé par une attaque de rançongiciel. Il a immédiatement révélé l’incident aux autorités tout en tenant le grand public au courant de la situation. Cette approche a été saluée par le directeur de l’agence de cybersécurité américaine (Cybersecurity and Infrastructure Security Agency, CISA), Jen Easterly. Ce dernier a salué les efforts de transparence la victime.
La gestion d’une attaque par rançongiciel est un défi. Mais la façon dont les organisations en parlent est tout aussi importante que la réponse technique. En détaillant ce qu’il s’est passé et comment l’incident a été résolu, elles montrent que les gangs de rançongiciels peuvent être contrés. Ce qui pourrait éviter de nouvelles victimes. Dans la lutte contre les rançongiciels, tout le monde a intérêt à ce que les attaques soient plus transparentes.
Source : ZDNet.com
(function(d, s, id) { var js, fjs = d.getElementsByTagName(s)[0]; if (d.getElementById(id)) return; js = d.createElement(s); js.id = id; js.src = "//connect.facebook.net/fr_FR/all.js#appId=243265768935&xfbml=1"; fjs.parentNode.insertBefore(js, fjs); }(document, 'script', 'facebook-jssdk'));