Tél : 02.78.77.53.86 hello@avantdecliquer.com

Paiement des rançongiciels : USA, un exemple ?

Payer une rançon encourage la multiplication des attaques par ransomware et soutient financièrement les cybercriminels. De fait, les autorités américaines ont décidé de sanctionner les organisations américaines qui céderaient au chantage financiers des hackers. L’OFAC (L’Office of Foreign Assets Control du département américain du Trésor) a publié plusieurs avis pour sensibiliser les particuliers et les organisations dans la lutte contre les attaques par rançongiciel. L’un de ces avis, publié le 1er octobre 2020, officialise les sanctions liées aux paiements de rançongiciels. 

L’OFAC précise que cette sanction s’étend également aux organismes qui facilitent le paiement de rançons aux cybercriminels au nom des victimes.

Ainsi, l’interdiction de payer les rançons s’applique à l’organisation piratée et aux sociétés ou entreprises avec lesquelles l’organisation infectée s’est engagée : institutions financières, assurance, expertise numérique, services financiers facilitant les paiements de rançons.

Néanmoins, le paiement contre un ransomware peut être effectué mais uniquement pour les organisations qui collaborent avec le Trésor américain, le FBI et d’autres agences gouvernementales. (source : siliconangle.com).

Sans cette approbation du gouvernement, les organisations enfreignent les sanctions de l’OFAC. Les répercussions juridiques sont conséquentes, notamment des amendes allant jusqu’à 20 millions de dollars.

Rançongiciel : paiera – paiera pas ?

Selon ZDNet, une étude d’IBM indique que “près de 70% des entreprises victimes d’un ransomware acceptent de payer les cybercriminels”. La moitié de ces rançons s’élève à plus de 10.000 dollars chacune. La principale motivation de ces organisations est de récupérer leurs données. En particulier si celles-ci concernent la finance, les clients, la propriété intellectuelle et les projets business. D’ailleurs, selon ZDNet, “60% des dirigeants interrogés reconnaissent qu’ils paieraient pour récupérer les données”.

En France, il n’y a rien d’illégal à verser la rançon demandée. Le sujet soulève de nombreuses et épineuses questions : En effet, les sociétés du CAC40 ont des obligations juridiques vis-à-vis de leurs actionnaires, tout comme les organisations du service public. Si une loi les condamnait à des sanctions financières, voire à des peines d’emprisonnement, sa mise en application serait extrêmement difficile.

Guillaume Poupard, Directeur général de l’ANSSI, recommande de ne pas payer car cela soutient financièrement les extorqueurs et les incite donc à poursuivre dans cette voie. De plus, le paiement d’une rançon aux cybercriminels ne garantit aucunement que la victime retrouvera l’accès à ses données volées. Les cybercriminels peuvent, en outre, en conserver une copie pour les revendre ou les échanger sur le Dark Web par exemple.

Un choix cornélien

Se soumettre ?

  • Payer tout en sachant que cet acte encourage les cybercriminels à s’engager dans de futures attaques. En payant, une organisation contribue à créer un nouveau marché pour les cybercriminels.
  • Payer et prendre le risque de ne pouvoir récupérer ou déchiffrer ses données. En effet, les cybercriminels ne possèdent pas toujours la clé de déchiffrement des rançongiciels acquis sur le marché noir. 

Résister ?

  • Ne pas céder et évidemment renoncer à ses données et subir les conséquences d’une cyberattaque (pertes financières, arrêt ou perturbation des systèmes d’information, de la production, perte de confiance, dégradation de l’image…).

Rançongiciel : que faire ?

Dans le cas d’une cyberattaque par rançongiciel, avertir les autorités habilités.

Mais avant tout, prévenir ! Il ne faut pas sous estimer les enjeux de la cybersécurité. De plus, tous les organismes privés ou publics, de grande ou de petite taille, devront se mettre en conformité au RGPD (règlement européen général sur la protection des données à caractère personnel).

En effet, la prévention reste la meilleure voie à choisir. Elle évite de devoir faire le choix difficile de payer ou non une rançon. avantdecliquer7. De plus, de nombreuses organisations, après avoir payé, ne modifient pas pour autant leurs habitudes de travail. Elles ne tirent aucun profit de cette difficile expérience en menant, par exemple, des campagnes de sensibilisation à la cybersécurité pour empêcher toute récidive. Et pourtant, le principal point d’entrée des cybercriminels reste l’utilisateur. 

De la prévention avant toute chose !

Une organisation songe, en général, à se pourvoir de solutions et équipements techniques pour se protéger des cyberattaques. Cela ne suffit plus ! Il est désormais indispensable de combiner solutions techniques et solutions organisationnelles. Sensibiliser ses collaborateurs à la cybersécurité est un enjeu majeur.