Les attaques de ransomware ont montré des signes de diminution ces derniers mois. Pourtant, elles représentent toujours une menace suffisante pour que les entreprises se demandent si une brèche réussie dans leurs ordinateurs justifie le paiement d’une rançon dans l’espoir que les attaquants ne divulguent pas le contenu volé.
Selon le rapport Threat Pulse du groupe NCC publié en mai, le paysage des ransomwares reste turbulent malgré la diminution du nombre d’incidents signalés depuis avril. Les secteurs industriels (34 %) et de la consommation cyclique (18 %) restent les premier et deuxième secteurs les plus ciblés.
Depuis avril, le top 10 des acteurs de ransomware a connu une importante transformation. Hunters, l’un des principaux acteurs malveillants, est passé de la huitième à la deuxième place. Il a lancé 61 % d’attaques de ransomware de plus en avril qu’en mars. RansomHub a remplacé RA Group à la troisième place et a enregistré une augmentation de 42 % des attaques par rapport au mois de mars.
La politique de non-paiement des rançons, souvent appelée politique de « non-concession », est une stratégie largement débattue dans la lutte contre le terrorisme et les prises d’otages. Son efficacité continue d’être discutée sous de multiples angles. Les experts en cybersécurité appliquent le même raisonnement lorsqu’ils décident de payer ou non une rançon.
Certains affirment que le paiement des rançons demandées par les pirates informatiques finance de futures activités criminelles. Les considérations juridiques entrent également en ligne de compte dans l’équation de décision. Dans certains pays, le paiement d’une rançon aux terroristes est illégal. D’autres estiment que des lois similaires sont nécessaires pour aider à endiguer les crimes liés aux rançons informatiques.
Selon le département du Trésor américain, aucune loi fédérale n’interdit aux États-Unis de payer des rançons. Cependant, effectuer de tels paiements comporte des risques juridiques et financiers importants.
La raison d’être d’une politique de « non-concession » est que l’élimination de l’incitation financière pour les cybercriminels pourrait réduire la fréquence et la gravité des attaques de ransomware, selon Anne Cutler, évangéliste en cybersécurité chez Keeper Security.
« Cependant, cette approche, bien que louable, présente des défis réels pour les organisations », a-t-elle déclaré à TechNewsWorld.
La stratégie de ransomware sans paiement gagne du terrain
Les experts en cybersécurité et les responsables gouvernementaux soutiennent depuis longtemps la politique de non-paiement des rançons en raison de son potentiel à freiner l’activité criminelle et à réduire les attaques, a noté Cutler. Le paiement des rançons est risqué et peu fiable et ne garantit pas que les cybercriminels rétabliront l’accès ou décrypteront les fichiers.
« Les compagnies d’assurance en matière de cybersécurité excluent de plus en plus les paiements liés aux rançongiciels de leur couverture, ce qui incite les organisations à investir davantage dans des mesures préventives proactives », a-t-elle ajouté.
Cutler a cité la stratégie du Japon comme un exemple pertinent. Nikkei Cross Tech et Japan Proofpoint rapportent que les organisations japonaises maintiennent un taux de paiement de rançons particulièrement faible par rapport à d’autres pays. Malgré une augmentation des incidents de rançongiciels jusqu’en 2023, le premier semestre 2024 a connu une légère baisse, selon le rapport sur les menaces dans le cyberespace du département de la police métropolitaine.
« Bien qu’il ne soit pas clair si cette diminution est directement liée au faible taux de paiement au Japon, cela suggère que la minimisation des paiements de rançon pourrait influencer l’activité globale des ransomwares », a-t-elle expliqué.
Les défis de l’application des interdictions de paiement des rançongiciels
Craig Jones, vice-président des opérations de sécurité chez Ontinue, a admis que les experts en cybersécurité discutaient des avantages et des inconvénients de l’interdiction du paiement des rançons pour lutter contre les ransomwares. Mais il s’agit là d’une proposition à multiples facettes.
« Bien que cela puisse décourager les attaquants en supprimant leurs incitations financières, appliquer une telle interdiction est difficile, en particulier avec l’anonymat fourni par les crypto-monnaies », a-t-il déclaré à TechNewsWorld.
Dans des situations critiques, les organisations peuvent toujours choisir de payer des rançons en secret pour récupérer des données vitales ou restaurer leurs opérations, compromettant ainsi l’efficacité de l’interdiction, a-t-il ajouté.
Jones estime qu’une approche plus globale pourrait être plus efficace. Il est favorable au renforcement des défenses en matière de cybersécurité, à la promotion de la coopération internationale pour traquer et poursuivre les cybercriminels et à la réglementation du secteur de l’assurance cybernétique.
« Cette stratégie à plusieurs niveaux s’attaque aux causes profondes et aux conséquences des ransomwares sans les défis importants en matière d’application de la loi et les conséquences négatives potentielles d’une interdiction », a-t-il expliqué.
« Une telle approche reconnaît la complexité et la nature mondiale des cybermenaces, offrant une solution équilibrée pour atténuer les risques de ransomware. »
Risques et réalités de la politique anti-ransomware « Pas de concessions »
En théorie, les clauses de non-paiement visent à perturber la rentabilité de la cybercriminalité en privant les attaquants du résultat souhaité. Cependant, appliquer cette stratégie de manière universelle peut s’avérer difficile, prévient Jason Soroko, vice-président senior des produits chez Sectigo. Son entreprise propose des services complets de gestion du cycle de vie des certificats (CLM).
« Bien que l’interdiction des paiements de rançongiciels puisse dissuader les attaques au fil du temps, elle place également les victimes, en particulier les infrastructures critiques, dans une position précaire, ce qui peut entraîner de graves perturbations », a-t-il déclaré à TechNewsWorld.
Les cadres juridiques interdisant les paiements devraient être soigneusement élaborés pour éviter des conséquences imprévues, a-t-il suggéré. Cela implique notamment de forcer les organisations à opérer dans le secret ou d’aggraver les dégâts lors d’une attaque active.
« L’équilibre entre la lutte contre la criminalité et la protection des services essentiels est délicat », a-t-il observé.
Renforcer la cybersécurité grâce à la formation des employés
La formation et l’éducation des employés sur les meilleures pratiques en matière de cybersécurité sont essentielles pour protéger une organisation contre les cybermenaces en constante évolution, a rétorqué Patrick Tiquet, vice-président de la sécurité et de l’architecture chez Keeper Security.
« Les employés constituent la première ligne de défense. Des séances de formation régulières doivent souligner l’importance de la vigilance lors de la réception de demandes d’authentification multifacteur (MFA) non sollicitées », a-t-il affirmé.
Ce processus de formation doit se concentrer sur la formation des employés à remettre immédiatement en question les notifications inattendues et à signaler toute activité suspecte sans délai. Les simulations d’attaques de phishing et les exercices de notifications push peuvent aider efficacement les employés à reconnaître et à réagir aux menaces, a noté Tiquet.
« Favoriser une culture dans laquelle les employés se sentent à l’aise pour signaler des problèmes de sécurité potentiels sans crainte de réprimande est essentiel pour détecter et répondre rapidement aux menaces », a-t-il déclaré.
Conseils pour éviter les dilemmes liés au paiement des ransomwares
Ngoc Bui, expert en cybersécurité chez Menlo Security, estime que le paiement des rançons ne devrait être illégal nulle part. Si cela peut inciter les acteurs malveillants à agir, ne pas payer pourrait être encore plus dommageable, en particulier pour les organisations impliquées dans des infrastructures critiques.
« Les perturbations causées par les ransomwares peuvent être catastrophiques, et les organisations doivent donner la priorité à la protection de leurs opérations et de leurs parties prenantes. Les organisations qui subissent une attaque par ransomware doivent également en tirer des enseignements pour ajuster leurs mesures de sécurité et s’assurer qu’elles utilisent des renseignements exploitables pour y parvenir », a déclaré Bui.
Pour éviter de se retrouver face à la question du « payer ou ne pas payer », une stratégie de premier ordre consiste à prévenir de manière proactive les attaques de ransomware. Tiquet recommande aux entreprises de gérer la sécurité des sous-traitants tiers. Commencez par effectuer des vérifications approfondies des antécédents et des évaluations de sécurité pour vous assurer que les sous-traitants respectent des normes strictes avant d’accorder l’accès aux systèmes sensibles.
« Une fois les sous-traitants intégrés, l’application du principe du moindre privilège est essentielle à la sécurité d’une organisation », a-t-il déclaré.
Cette approche consiste à leur accorder uniquement l’accès minimum nécessaire à leurs tâches et rôles spécifiques au sein de l’organisation. Des audits réguliers de l’accès des tiers sont essentiels pour détecter au plus tôt toute activité inhabituelle ou non autorisée, permettant ainsi de prendre rapidement des mesures pour atténuer les risques et les violations potentiels.