En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour vous proposer des contenus et services adaptés à vos centres d’intérêts. En savoir plus et gérer ces paramètres. OK X
 
 

 

 

Dossiers

Etat des lieux des ransomwares et implications légales du paiement de rançons

Par Samy Reguieg, Regional Director France d’Acronis

Publication: Juillet 2022

Partagez sur
 
Les attaques de ransomware de plus en plus fréquentes et sophistiquées amènent les entreprises à s’interroger sur les implications légales du versement ou non d’une rançon...
 

D’après l’édition 2022 du rapport Acronis Cyberthreats Report 2022, le ransomware demeure la principale menace pour les PME et les grandes entreprises des secteurs de la santé, du commerce de détail, de la fabrication et d’autres secteurs stratégiques.

37 % des entreprises mondiales reconnaissent avoir été victimes d’une attaque de ransomware en 2021. Pour beaucoup d’analystes, ce pourcentage est sous-évalué sachant que seule une fraction des attaques de ransomware est effectivement signalée. Les entreprises doivent se prémunir contre pléthore de cyberattaques avec des méthodes qui évoluent très rapidement, comme les attaques ransomware as a service (RaaS) et leur déclinaison initial access brokers (IAB).

Ces modèles sur abonnement sont communs à de nombreux types de ransomware, toujours identifiés par les groupes ou les gangs qui les pilotent. Ils consistent à vendre des ressources infiltrées en interne et des outils de ransomware à des cybercriminels et des gangs.

Même les ransomwares basés dans le cloud sont en augmentation avec des cybercriminels qui visent les applications SaaS (software as a service). Ceux-ci ciblent des terminaux ou applications SaaS et en verrouillent l’accès en échange du versement d’une rançon. Certains gangs achètent de la capacité cloud auprès des grands fournisseurs pour établir leur propre infrastructure et distribuer facilement des malwares. Les entreprises américaines sont les premières cibles des cybercriminels et des groupes, tous types de ransomware, de groupe ou de souche confondus.

Les PME sont de plus en plus visées, avec des pertes comprises entre 70 dollars et 1,2 million de dollars. Mais dans 95 % des cas, le coût médian d’une attaque de ransomware est de 11 150 dollars. Si les chiffres des attaques de ransomware visant des PME et des entreprises sont variables, la tendance est de trois pour cinq, et les chercheurs en sécurité préviennent d’une hausse probable dans les années à venir.

Aucun secteur n’est épargné : éducation, santé, commerce de détail, technologie, fabrication industrielle, services publics ou encore finance. Chaque entreprise ou organisation étant une victime probable d’une attaque de ransomware, chacune doit se demander s’il est judicieux ou non de payer une rançon.

Payer ou ne pas payer ?

Tout d’abord, on conviendra bien entendu que prévenir toute attaque de ransomware est une priorité. Mais cela n’empêche pas de se positionner sur la légitimité ou non de verser une rançon. Dans leur ensemble, les experts de la sécurité recommandent de ne pas payer surtout que les cas de restitution des données volées sont peu nombreux, que rien ne garantit que les clés de chiffrement fonctionneront et, surtout, que les cybercriminels risquent d’être incités à poursuivre leurs tentatives d’extorsion et à développer des ransomwares.

Implications légales

Aux Etats-Unis, les Etats se sont tous accordés sur le non-versement de rançon. Des lois, comme celle de 2020 entre le Bureau du contrôle des avoirs étrangers (OFAC) et le Financial Crimes Enforcement Network (FinCEN) du Trésor américain, font que le versement de rançon est illégal dans la plupart des cas.

L’UE légifère de même pour ce qui concerne la liste, récemment allongée, des « services essentiels ». Les états membres de l’UE peuvent imposer des sanctions à ceux qui versent des rançons en vertu de la Directive NIS sur la sécurité (Security of Network and Information Systems Directive).

La question de négocier ou non avec des cybercriminels dépend de nombreux facteurs liés à l’attaque de ransomware, à savoir qui, quoi, où et pourquoi. Certains tiennent au temps dont ont besoin les experts de sécurité de l’entreprise ou ses partenaires sécurité pour savoir s’ils peuvent casser la clé de chiffrement. Ils voudront aussi prendre le temps de déterminer l’identité du groupe à l’origine du ransomware.

Il semble qu’il n’y ait pas de précédent en matière de poursuites d’une entité pour avoir versé une rançon aux auteurs d’un ransomware. Mais la perte d’informations ultra confidentielles avec des implications éthiques, d’image de marque et de positionnement sur le marché a déjà eu pour conséquences :

- Des sanctions réglementaires pour la divulgation de données relevant du secret médical (données PHI en vertu de HIPAA), de données financières et PCI (Payment Card Industry), et de données personnelles PII (Personally Identifiable Information)

- De graves préjudices de la réputation de confiance de la marque

- Des effets néfastes sur les contrats de service, la position sur le marché, le cours en bourse et la confiance des investisseurs avec des conséquences financières catastrophiques

Il n’existe pas non plus de garantie que le versement de la rançon se fera en échange d’une clé de déchiffrement fonctionnelle ou que les données pourront être restaurées. Et rien ne dit qu’une fois que l’on aura payé un agresseur, lui-même ou d’autres ne reviendront pas à la charge.

Mais si le non versement fait consensus parmi les experts de la sécurité, mieux vaut toujours consulter des professionnels de la sécurité pour identifier la meilleure approche à suivre. L’entreprise saura ainsi anticiper d’éventuelles mesures de sécurité et leurs possibles ramifications au niveau des opérations.

Implications financières et commerciales

Une décision du congrès américain oblige désormais les entreprises œuvrant dans l’intérêt national des Etats-Unis à signaler qu’elles ont été victimes d’un piratage ou qu’elles ont versé une rançon. Mais le cadre légal de versement ou non d’une rançon varie grandement.

Décider de verser ou non une rançon induit nombre de conséquences opérationnelles, juridiques, financières et des conséquences pour la marque également. Il est vivement recommandé à toutes les entreprises de se préparer à bloquer toute attaque de ransomware et d’avoir un plan pour après l’attaque. Ceci suppose de bien comprendre quels sont les enjeux techniques à dépasser pour déjouer une attaque de ransomware ou y répondre.

Les enjeux techniques d’une attaque de ransomware

Les entreprises de toute taille amenées à devoir déjouer une attaque de ransomware ou à y répondre sont confrontées à des enjeux techniques. L’insuffisance des sauvegardes, des outils déployés, des mises à jour de correctifs et d’autres critères vont dans le sens d’une approche de cybersécurité intégrée pour protéger au mieux les données.

Toutes les entreprises, qu’elles aient un seul employé, des centaines ou des milliers, doivent inscrire la formation aux meilleures pratiques de cybersécurité à leur culture. Ceci suppose de bien comprendre les différents besoins en termes de cyber résilience et de cybersécurité, à savoir la capacité d’une entreprise à se protéger des cybermenaces et les outils IT mis à disposition pour ce faire.

https://www.acronis.com/

Suivez MtoM Mag sur le Web

 

Newsletter

Inscrivez-vous a la newsletter d'MtoM Mag pour recevoir, régulièrement, des nouvelles du site par courrier électronique.

Email: