Ransomware : mieux vaut prévenir plutôt que payer !

Le paiement des rançons liées aux cyberattaques est un sujet très complexe. D’un côté, les victimes sont souvent tentées de payer leur cyber-agresseur, dans l’espoir (pas forcément la garantie…) de retourner rapidement à la normale, après que les systèmes d’information ont été totalement bloqués par l’attaque. C’est vrai dans le secteur privé comme dans le secteur public.

D’un autre côté, il y a une envie légitime de vouloir se protéger des risques cyber de la même façon que l’on se protégerait des risques d’inondation … Cette approche peut être assimilée à une solution de facilité pour ne pas devoir mettre en place les protections nécessaires en amont, et pouvoir faire porter par son assureur les conséquences pécuniaires d’une cyberattaque.

En 2020, les paiements de rançon ont atteint plus de 400 millions de dollars, soit plus de quatre fois leur niveau en 2019. L’enjeu est donc de taille, et les actuaires des grandes compagnies d’assurance ont déjà fait tourner leurs algorithmes pour identifier le juste niveau des primes à demander à leurs nouveaux assurés. Contrairement à une assurance voiture ou habitation, on manque encore de repères pour identifier « le juste prix » de ce type d’assurance. La mise en concurrence est donc nécessaire.

Au niveau international, la lutte contre les rançongiciels bénéficie d’une collaboration étroite avec les partenaires internationaux. Lors de la réunion du Groupe des Sept (G7) en juin dernier, les membres se sont engagés à travailler ensemble pour faire face en urgence à la menace commune et croissante des réseaux criminels de ransomware. Le G7 étudie aussi les impacts potentiels sur le secteur financier. Par exemple, le Groupe d’experts en cybercriminalité (CEG) du G7, coprésidé par le Trésor et la Banque d’Angleterre, s’est réuni les 1^er et 14 septembre 2021 pour discuter des ransomwares et explorer les moyens de contribuer à améliorer la sécurité et la résilience globales contre les activités cyber malveillantes.

Aux États-Unis, l’OFAC (Office of Foreign Assets Control) du Trésor a émis le 21 septembre dernier un avis soulignant que le gouvernement des États-Unis continue de décourager fortement le paiement de rançons ou de demandes d’extorsion dans le cyberespace et reconnaît l’importance de la « cyber-hygiène » pour prévenir ou atténuer de telles attaques.

Au-delà des assurances promettant de couvrir (au moins partiellement…) ses risques financiers, le meilleur moyen de se protéger de ces risques reste l’investissement dans les initiatives de prévention, de protection et de détection des attaques pour les SI grâce aux solutions de cybersécurité disponibles aujourd’hui sur le marché.