Face à la multiplication des attaques ransomware, nombre de victimes sont tentées de payer une rançon théoriquement moins coûteuse qu’une reconstruction complète de leur système d’information ; cristallisant l’opposition entre les tenants d’une approche sans compromis, et ceux partisans d’une ligne plus pragmatique.
Une menace résiliente
Dans son dernier rapport trimestriel sur la menace ransomware, la société Coveware mettait en avant une baisse de plus de 50% de la rançon médiane versée par les victimes, entre le premier et le deuxième trimestre de 2022. Le phénomène trouverait son explication dans le ciblage par les groupes ransomware d’entreprises de taille intermédiaire, présentant un meilleur ratio coût-gain de l’attaque que de plus grandes entreprises, désormais mieux préparées.
Cette relative bonne nouvelle ne peut malheureusement pas cacher la réalité d’un secteur croissance structurelle avec des rançons passées de quelques centaines de dollars à la fin des années 2010, à plusieurs dizaines (valeur médiane) voire centaines de milliers de dollars (valeur moyenne), sans même parler des plus importantes, qui dépassent ponctuellement plusieurs millions.
Entre morale et réalité opérationnelle, parfois le grand écart
Pendant longtemps et dans la plupart des pays, les recommandations face à ces demandes de rançon sont restées tranchées : il était très largement déconseillé de payer, et ce même si le paiement n’était pas illégal en tant que tel.
Cette posture s’appuyait sur la convergence des autorités et des experts, les autorités faisant valoir une vision moraliste selon laquelle payer finançait les cybercriminels et les encourageait à recommencer, les experts une vision plus pratique selon laquelle le paiement ne garantissait la fourniture de clés pour le déchiffrement.
Avec le fort développement des attaques, cette posture s’est néanmoins progressivement retrouvée en décalage avec la réalité de victimes pour qui le coût de la rançon était souvent bien inférieur à celui estimé pour la reconstruction de leurs systèmes d’information.
Ce décalage a également été accéléré par la professionnalisation des groupes ransomware. Devenus, pour les plus gros, de véritables entreprises, ils ont rapidement compris que leur réputation et leur fiabilité avaient un impact direct sur la probabilité qu’une victime paie, et donc leur retour sur investissement. Ils ont complété une approche traditionnellement plus portée sur la menace par une véritable logique « client » : inscription aux règles internes des groupes de l’obligation de fournir les clés de déchiffrement en cas de paiement, fonctions de support aux victimes de plus en plus riches, allant de module de chat à de véritables call-centers.
Aujourd’hui force est de constater qu’une victime qui paie peut donc raisonnablement espérer recevoir les clés permettant de déchiffrer ses données.
La France, elle aussi tiraillée…
La France illustre très bien le décalage entre le choix moral de ne rien concéder au cybercrime et l’évaluation arithmétique du risque de ne pas payer. D’un côté, des autorités campées sur une posture principalement dogmatique, illustrée l’an dernier par la charge de l’ANSSI et du Parquet de Paris contre les assureurs garantissant le paiement des rançons lors d’une audition du Sénat. De l’autre, des statistiques montrant que les entreprises françaises sont parmi les plus payeuses, comme l’étude sur la cybersécurité des PME et les TPE menée par l'assureur Hiscox en 2020.
Dans ce contexte, il est peu surprenant que le projet de loi, présenté le 7 septembre dernier par le ministère de l’Intérieur, et validant le remboursement par les assureurs de la rançon dès lors qu’une plainte a bien été déposée, fasse polémique. Directement poussée par Bercy, cette mesure a logiquement braqué les tenants de l’interdiction pure et simple du paiement.
Le dédommagement du paiement n’est pourtant pas un frein à l’amélioration de la cybersécurité. Au contraire, les assureurs demandent toujours aux victimes de s’engager sur une feuille de route concrète, sous la menace d’une augmentation sensible du coût de l’assurance.
A l’autre extrémité du spectre, les victimes qui font le raccourci entre recevoir un utilitaire de déchiffrement et un retour rapide de leur système d’information à son fonctionnement nominal en font parfois les frais, à l’instar de Colonial Pipeline l’an dernier. Les propriétaires du réseau d’oléoducs américain avaient versé près de 5 millions de dollars, en échange d’un utilitaire de déchiffrement si peu performant que les équipes informatiques ont dû continuer de restaurer une partie des systèmes touchés à partir de sauvegardes.
L’opposition frontale entre ces deux logiques masque donc des situations complexes et bien plus nuancées, quelle que soit la position de départ, que ce soit pour la victime, l’assureur et d’autres parties impliquées.