Il est l’arme de choc d’une des cyberattaques les plus en vogue à l’échelle mondiale : en 2016 déjà, le ransomware faisait trembler une PME toutes les 40 secondes, quelque part sur le globe (source 1). Depuis, les attaques de ce type se sont multipliées de manière exponentielle et menacent de plus en plus l’activité – pour ne pas dire la survie – des entreprises. Pour minimiser l’impact d’un blocage par rançongiciel, les victimes sont souvent tentées de payer : réagir vite pour souffrir moins, telle est la stratégie adoptée. Payer est une option dangereuse et contre-productive, aussi bien pour l’entreprise qui fait face aux rançonneurs que pour toutes les futures victimes potentielles du fléau « ransomware ». Pourtant, il est parfois nécessaire de la payer pour s'en sortir.
Infection, réaction : c’est selon ce principe que de nombreuses entreprises abordent les épisodes malheureux d’attaque par rançongiciel. La logique en est simple : on préfère payer et « se libérer » sans délai plutôt que de voir les affaires de l’entreprise mises à l’arrêt ou perturbées sur un temps indéfini. C’est un peu l’idée du « moindre mal ». Malheureusement pour elles et pour les preneurs de décision, cette tactique ne s’avère pas toujours payante, mais elle peut être nécessaire et bénéfique dans certains cas.
L’Agence nationale de la sécurité des systèmes d’information (ANSSI), référence incontournable en matière de cybersécurité, est catégorique : les entreprises ne doivent pas jouer le jeu des cybercriminels en payant les sommes demandées pour la levée d’un ransomware. Suite à une explosion du nombre d’attaques par rançongiciel au printemps 2020, en pleine période de confinement Covid, l’ANSSI a publié, conjointement avec le Ministère de la Justice, son guide des bonnes pratiques (source 2) en cas d’attaque par ransomware.
Point par point, l’Agence spécialiste du risque cyber recommande formellement :
To pay or not to pay, telle est la question. Quels sont les arguments de l’ANSSI pour rejeter l’idée du paiement de la rançon ? Le constat est simple :
Selon une étude publiée en 2021 (source 5), seules 51 % des entreprises s’étant acquittées de la rançon suite à une attaque ont pu recouvrer l’intégralité de leurs données. 3 % ont été dans l’impossibilité totale de récupérer leurs données et 46 % ont retrouvé des données en partie altérées.
Plus préoccupant encore, 80 % des entreprises « coopérantes » ont subi une nouvelle attaque par très peu de temps après le paiement. Et, dans 46 % des cas, le ransomware était exactement le même !
Cependant, il existe une exception : si la perte d'exploitation engendrée par le ransomware est trop importante, l'assureur pourra, en dernier recours uniquement, autoriser le paiement de la rançon et l'indemniser ensuite.
Face à l’intensification du phénomène et à une cybercriminalité toujours plus puissante, les pouvoirs publics se sont emparés de la question.
En octobre 2021, la député La République en Marche Valéria Faure-Muntian présentait devant l’Assemblée Nationale une proposition de loi radicale : interdire aux assureurs « de garantir, couvrir ou d’indemniser la rançon » (source 7).
À l’origine de cette initiative, un constat simple de la présidente du groupe d’études Assurances de l’Assemblée nationale : la majorité des assureurs cyber proposent dans leurs forfaits le paiement de la rançon en lieu et place des entreprises. Pour ces dernières, cette solution est loin d’être idéale : elle se traduit par des tarifs d’assurance élevés, aucune garantie de recouvrir l’intégralité des données attaquées et, toujours et encore, un encouragement des pratiques de cybercriminalité.
Au début de l’année 2022, la loi d'orientation et de programmation du ministère de l'Intérieur – dite LOPMI – est venue clarifier le cadre, suite à près d’un an d’échanges animés entre les partisans du paiement de la rançon et ses détracteurs. L’idée d’une interdiction pure et simple du paiement des rançons a été écartée. Le directeur de l’ANSSI lui-même, malgré son combat contre les « intermédiaires » – comprendre les assureurs « payeurs de rançons », a reconnu que la possibilité du paiement devait continuer à exister dans certains cas (source 6).
Le texte de loi pose le principe d’un conditionnement : est autorisé le paiement de la rançon si et seulement si l’entreprise porte plainte dans les 48 heures suivant le versement. Adopté en Conseil des ministres, le texte devrait être soumis sous peu au vote du Parlement et pourrait, dans l’intervalle, continuer à alimenter les débats.
L’attaque par ransomware ou rançongiciel conduit à perturber le fonctionnement d’une entreprise en bloquant l’accès à ses outils informatiques ou en prenant la main sur ses données. L’attaque est généralement réalisée à travers l’envoi d’un simple e-mail contenant une pièce jointe infectée ou un lien vers un site internet frauduleux qui incite l'utilisateur à y communiquer des informations confidentielles. Après avoir obtenu les accès au système informatique, les cybercriminels sont en mesure de récupérer les droits administrateur. Très vite, c’est l’ensemble du système informatique qui est bloqué. Les criminels peuvent identifier les données sensibles pour les bloquer et les chiffrer.
Un message de demande de rançon tourne en boucle sur tous les appareils infectés. Une somme d’argent est demandée en échange d’un mot de passe ou d’une clé de déchiffrage pour un supposé retour à la normale.
En 2021, à l’échelle mondiale, la France a été le 3e pays le plus touché par des attaques par ransomware, juste après les États-Unis et le Royaume-Uni. La mise en pratique du télétravail, dans le contexte de Covid-19, a largement contribué à cette évolution : selon les données de l’ANSSI (l’Agence nationale de la sécurité des systèmes d'information), les attaques par ransomware ont augmenté de 255 % sur la seule année 2020, année 1 de la pandémie.
Sources :