Interdire les paiements pour mettre fin aux ransomwares ?

En réponse, en octobre 2023, la Maison Blanche a annoncé une initiative majeure, rassemblant quarante pays, y compris la France, sous l'égide de l'alliance « International Counter Ransomware ». Dirigée par les États-Unis, cette coalition a pris l'engagement de ne jamais céder aux exigences de rançon et de travailler de concert pour éliminer le financement des cybercriminels. L'objectif de cette initiative est de diminuer l'attractivité de telles attaques en rendant illégaux les paiements de rançon, espérant ainsi dissuader les pirates.

Toutefois, bien que ces déclarations ambitieuses aient marqué un tournant, aucun accord formel n'a encore été concrétisé à ce jour. Face à une menace qui ne cesse d'évoluer et de se sophistiquer, comment les entreprises peuvent-elles efficacement se prémunir contre ces extorsions numériques ?

Toutes les rançons ne se valent pas

Dans la pratique, il existe plusieurs types d’extorsion. Les ransomwares n’ont pas grand-chose à voir, généralement, avec les opérations d’extorsion physique impliquant des enlèvements, des prises d’otages ou des menaces de violence à l’encontre de personnes ou d’espaces publics. Cependant, certaines attaques par ransomware peuvent tout à fait mettre en danger la vie des patients d’un hôpital, par exemple, lorsque les incidents forcent le transfert de certains patients en urgence vitale vers d’autres hôpitaux à proximité dans le cas où l’attaque empêche fonctionnement normal de l’établissement victime.

Dans les scénarios où des vies humaines sont en jeu, les considérations éthiques et juridiques sont trop complexes pour imposer une interdiction absolue de paiement. Au vu de la capacité d’adaptation et de l’inventivité des attaquants, on peut s’attendre à ce qu’ils exploitent les failles d’une telle interdiction et qu’ils trouvent des moyens de la rendre inapplicable. Ainsi, une loi s’opposant formellement à tout paiement pourrait mettre les entreprises face à des dilemmes moraux impossibles à résoudre.

Des effets pervers inévitables

Supposons un instant que le paiement de rançons soit légalement proscrit et qu’une attaque par ransomware vienne de paralyser votre activité. Vous devez rétablir rapidement vos services en ligne, faute de quoi vous pourriez faire faillite. Quelles que soient les règlementations en vigueur, les forces de l’ordre ne peuvent punir que les faits dont elles ont connaissance. Il est presque certain que de nombreux dirigeants dans une telle situation préfèreront payer discrètement, sans signaler l’incident. Ce phénomène est d’ailleurs si fréquent qu’il nous empêche d’appréhender l’importance réelle du problème et entrave les efforts visant à le réprimer. Difficile de relever un défi dont on ne connaît pas l’étendue réelle.

En outre, une interdiction absolue des paiements pèserait bien plus lourdement sur les PME. Alors que les grandes structures disposent généralement des ressources nécessaires pour répondre à ce type d’attaque sans céder aux demandes de rançon, un ransomware peut représenter une menace existentielle pour les entreprises plus modestes. En effet, ces dernières peuvent être alors forcées de choisir entre commettre un acte illégal ou faire faillite.

La cyberassurance au service des hackers

Toute nouvelle politique ou législation peut entraîner des conséquences imprévues, comme le montre l'évolution de la cyberassurance. Initialement conçue pour protéger les entreprises contre les impacts financiers des ransomwares, cette protection s'avère de plus en plus limitée. Elle ne couvre en effet pas toujours les incidents de ransomware, surtout lorsque les coûts associés aux franchises excèdent les pertes directes. Cette lacune complique la gestion des attaques pour les entreprises.

De plus, les cybercriminels ont identifié les entreprises assurées comme des cibles privilégiées, sachant qu'elles sont plus enclines à payer des rançons pour réduire les perturbations. En ciblant ces organisations, les hackers adaptent leurs demandes pour maximiser les gains, encourageant ainsi, malgré elles, l'industrie du ransomware. Cela a rendu les assureurs de plus en plus réticents à couvrir de tels risques.

L’exemple à suivre : le secteur bancaire

Les braquages de banques, autrefois fréquents, ont considérablement diminué au cours des dernières décennies. Cette diminution n’a pas été obtenue en interdisant aux guichetiers de remettre de l’argent liquide. Au contraire, les banques ont adopté une approche à plusieurs facettes pour réduire le risque. Elles ont ainsi mis en place différentes mesures, dont une diminution des quantités d’argent liquide en circulation, des serrures à retardement pour leurs coffres-forts, ainsi que des caméras de sécurité et des systèmes d’alarme plus performants. De plus, en cas de braquage « réussi », des dispositifs à base d’encre pour maculer les billets volés, d’argent factice et de traceurs GPS contribuent à réduire le risque de perte financière. Enfin, l’autorisation d’exercer cette activité est désormais soumise à l’installation de mesures de sécurité appropriées.

Une approche similaire pourrait s’avérer adaptée pour d’autres secteurs à haut risque. Les gouvernements peuvent établir des critères de cybersécurité et recommander des politiques de réduction des risques, comme ils l’ont fait pour le secteur public et les infrastructures stratégiques. De telles normes peuvent s’avérer particulièrement utiles pour les entreprises qui ne sont pas en mesure d’élaborer leur propre stratégie de défense contre les ransomwares.

Enfin, il revient aussi aux forces de l’ordre de jouer leur rôle et de renforcer leur collaboration au niveau international afin de démanteler les réseaux de ransomwares. Cette approche porte déjà ses fruits, comme en témoignent les récents succès remportés contre le gang de ransomwares LockBit. Les agences de plus d’une demi-douzaine de pays ont ainsi publié ensemble un avis détaillé sur la cybersécurité qui décrit les tactiques et les outils de LockBit. Elles ont également mis la main sur des équipements informatiques utilisés par ce groupe de hackers, ce qui a considérablement réduit sa capacité de nuisance.

Il est normal de s’indigner contre la prolifération des attaques par ransomware à travers le monde, mais interdire aux entreprises qui en sont victimes de payer, quelles que soient les circonstances, n’est pas une solution réaliste. Certaines situations échapperont toujours au cadre légal, et les conséquences imprévues d’une telle interdiction pourraient rendre le remède pire que le mal. Pour lutter plus efficacement contre ce fléau, les entreprises devront assumer une plus grande responsabilité en matière de cybersécurité tandis que les forces de l’ordre continueront de jouer leur rôle en enquêtant et en sanctionnant les criminels. Ce n’est pas aussi simple qu’une interdiction de payer les rançons, mais la guerre contre les ransomwares ne pourra être gagnée qu’en mettant en œuvre une stratégie aux facettes multiples.