Plus de la moitié des entreprises françaises ont déjà été touchées par un ransomware. Comment expliquer le faible nombre de plaintes enregistrées par les forces de l’ordre ?
Si votre entreprise faisait l'objet d'une cyberattaque, le signaleriez-vous à votre PDG ou au conseil d'administration ? Aux forces de l'ordre ? Selon le Centre de Lutte contre les Cybercriminalités numériques (C3N), en 2014 les cas de plaintes concernant les ransomwares se comptaient sur les doigts d’une main. En 2015 le C3N en dénombrait une centaine et il en a enregistré plus de 500 en 2016, estimant que ce chiffre était loin de représenter la réalité.
Nous ne pouvons que confirmer cette inquiétude puisqu’une étude récente de SentinelOne a révélé que 52 % des entreprises françaises étudiées avaient subi une attaque par rançongiciel au cours de 12 derniers mois et que seules 49% des sondées avaient signalé le(s) incident(s) à aux autorités compétentes. Imaginez un peu à quoi ressembleraient les chiffres du cybercrime si les 51 % restants avaient signalé leurs attaques.
Pourquoi toutes les organisations ne signalent-elles pas le cybercrime ? Et quel impact ce comportement a-t-il sur notre façon d'aborder ces menaces ?
La crainte de parler
D'après les résultats de l'enquête, seules 46 % des organisations françaises ont signalé une attaque par rançongiciel au PDG ou au conseil d'administration. Une explication plausible est que les équipes informatiques soient embarrassées à l'idée de signaler l'attaque, car elles craignent d'être jugées sur leur capacité à les empêcher et, par conséquent, de voir leur emploi menacé. Aussi cherchent-elles à corriger le problème sans en informer la direction. La déconnexion entre le travail des équipes informatiques et les modèles de risque d'entreprise est un problème ancien qui doit être résolu. Cependant, les entreprises doivent considérer le cybercrime et la sécurité comme un défi permanent, qui nécessite des investissements et une gestion continus, mais aussi et surtout l'appui du conseil d'administration.
Aucune entreprise ne veut renvoyer une image de faiblesse ou de vulnérabilité, et c'est cette crainte de voir sa réputation mise à mal qui dissuade les entreprises de signaler le cybercrime aux autorités. Selon le rapport Cyber Security: Underpinning the Digital Economy réalisé par l'Institute of Directors et la banque Barclays, les entreprises passent sous silence les cyberattaques dont elles sont victimes, y compris lorsque leurs activités en ont été sévèrement affectées1. Il se peut également qu'elles ne comprennent pas bien ce qu'implique le signalement du cybercrime et ce que la police exigera d'elles.
Les dangers liés au non-signalement du cybercrime
Selon le cabinet PwC, le cybercrime a coûté 3,36 milliards d’Euros aux entreprises françaises en 2015 et le fait qu'il soit très peu signalé est un réel problème. Si les entreprises ne dénoncent pas les incidents liés au cybercrime, comment les forces de l’ordre, l’ANSSI et les autres organes dédiés à la lutte contre le cybercrime sauront-ils où et comment affecter les ressources nécessaires pour le combattre ? Davantage de signalements et un partage des renseignements permettraient également d'aider les enquêtes sur les bandes de la grande criminalité organisée responsables, de façon directe ou indirecte, de la majeure partie du cybercrime.
Conseils et assistance
S'agissant des attaques par rançongiciel, de la façon de s'en prémunir et de réagir le cas échéant, les conseils disponibles ne manquent pas. Le problème réside dans le fait que bon nombre d'entreprises n'ont mis en place aucune mesure de cybersécurité de base, telles qu'une sauvegarde régulière des systèmes ou la capacité de restaurer les données. Pour elles, le risque est particulièrement élevé et une attaque par rançongiciel serait une catastrophe fatale.
Les forces de l’ordre françaises, tout comme Europol, considèrent les rançongiciels et le cybercrime comme faisant parties des menaces les plus importantes pour la sécurité de la France. Ceci est particulièrement vrai à notre époque où, grâce au RaaS (Ransomware-as-a-Service), même les personnes les plus novices sur le plan technique peuvent se procurer un « kit de rançongiciel ». Néanmoins, le message est clair : les organisations ne doivent pas payer la rançon. Cela ne fait qu'alimenter les modèles économiques de la criminalité et s'avère contre-productif dans le contexte plus large de la course aux cyberarmes.
Si nous voulons lutter efficacement contre cette épidémie, nous devons nous faire une idée plus précise de l'étendue du problème. Il est donc essentiel de sensibiliser le public aux mécanismes actuels de signalement du cybercrime afin de former et d'encourager les entreprises et les personnes à signaler toute attaque, ce qui débouchera sur une augmentation des outils et des ressources consacrés aux victimes de ces attaques.