Ransomware : mieux vaut prévenir plutôt que payer !
Selon l’Anssi, entre 2019 et 2020, le nombre d’attaques par des ransomwares a été multiplié par quatre. Dans ce contexte, un rapport parlementaire publié le 13 octobre 2021 propose d’interdire aux assureurs de couvrir les rançons. La députée Valéria Faure-Muntian préconise également de sanctionner les organisations qui « procèdent au paiement des rançons ».
Le paiement des rançons liées aux cyberattaques est un sujet très complexe. D’un côté, les victimes sont souvent tentées de payer leur cyber-agresseur, dans l’espoir (pas forcément la garantie…) de retourner rapidement à la normale, après que les systèmes d’information ont été totalement bloqués par l’attaque. C’est vrai dans le secteur privé comme dans le secteur public.
D’un autre côté, il y a une envie légitime de vouloir se protéger des risques cyber de la même façon que l’on se protégerait des risques d’inondation … Cette approche peut être assimilée à une solution de facilité pour ne pas devoir mettre en place les protections nécessaires en amont, et pouvoir faire porter par son assureur les conséquences pécuniaires d’une cyberattaque.
En 2020, les paiements de rançon ont atteint plus de 400 millions de dollars, soit plus de quatre fois leur niveau en 2019. L’enjeu est donc de taille, et les actuaires des grandes compagnies d’assurance ont déjà fait tourner leurs algorithmes pour identifier le juste niveau des primes à demander à leurs nouveaux assurés. Contrairement à une assurance voiture ou habitation, on manque encore de repères pour identifier « le juste prix » de ce type d’assurance. La mise en concurrence est donc nécessaire.
Au niveau international, la lutte contre les rançongiciels bénéficie d’une collaboration étroite avec les partenaires internationaux. Lors de la réunion du Groupe des Sept (G7) en juin dernier, les membres se sont engagés à travailler ensemble pour faire face en urgence à la menace commune et croissante des réseaux criminels de ransomware. Le G7 étudie aussi les impacts potentiels sur le secteur financier. Par exemple, le Groupe d’experts en cybercriminalité (CEG) du G7, coprésidé par le Trésor et la Banque d’Angleterre, s’est réuni les 1er et 14 septembre 2021 pour discuter des ransomwares et explorer les moyens de contribuer à améliorer la sécurité et la résilience globales contre les activités cyber malveillantes.
Aux États-Unis, l’OFAC (Office of Foreign Assets Control) du Trésor a émis le 21 septembre dernier un avis soulignant que le gouvernement des États-Unis continue de décourager fortement le paiement de rançons ou de demandes d’extorsion dans le cyberespace et reconnaît l’importance de la « cyber-hygiène » pour prévenir ou atténuer de telles attaques.
Au-delà des assurances promettant de couvrir (au moins partiellement…) ses risques financiers, le meilleur moyen de se protéger de ces risques reste l’investissement dans les initiatives de prévention, de protection et de détection des attaques pour les SI grâce aux solutions de cybersécurité disponibles aujourd’hui sur le marché.
Julien Escribe
Partner et expert en management des systèmes d’information chez ISG, cabinet mondial de conseil et de recherche en technologie
Les plus lus…
Cette fiche réflexe a été créée dans un contexte où la menace drone est trop souvent ignorée, et où…
La société Rolland, spécialisée dans la conception et la fabrication de sprinkleurs pour les réseaux de protection incendie, obtient…
Le développement des mobilités électriques, notamment les vélos, trottinettes et voitures, fait peser un risque nouveau tant chez les…
La directive (UE) 2024/2831 du Parlement européen et du Conseil du 23 octobre 2024, relative à l’amélioration des conditions…
D’avis unanime, les JOP 2024 ont été une réussite sur le plan sécuritaire. Durant cet événement inédit, trois projets…
L'arrêté du 31 octobre 2024 relatif à l'analyse des substances per- et polyfluoroalkylées dans les émissions atmosphériques des installations…