16-07
Flint Production
Faut-il payer la rançon des cyberpirates ?
En bref :
As-tu entendu parler de la cyberattaque contre Kaseya, victime d’un rançongiciel dont les effets ont été ressentis jusqu’en Suède ? Est-ce que, au contraire, cette première phrase te paraît incompréhensible ? Je t’explique : une attaque par rançongiciel consiste à envoyer un logiciel malveillant dans le système d’une entreprise pour chiffrer ses données. Ensuite, les pirates demandent une rançon contre le déchiffrement. Kaseya est une société informatique américaine qui a subi ce type d’intrusion le 2 juillet, et cela a eu des effets jusque dans les supermarchés de son client Coop Suède : les caisses n’y fonctionnaient plus. Les attaquants, le groupe REvil, demandaient 70 millions de dollars. Si cet événement-là est notable par son ampleur, les attaques par rançongiciels, elles, explosent : rien qu’entre 2019 et 2020, elles se sont multipliées par 485%.
🤖 Qui en discute le plus ? Selon nos robots, le sujet résonne particulièrement auprès des entreprises et des ingénieurs de cybersécurité.
💡 Pourquoi c’est intéressant ? Parce que derrière des dehors un peu techniques, les attaques par rançongiciels touchent tellement de monde (hôpitaux, collectivités, médias, administrations…) que ça vaut le coup d’en apprendre un peu sur la question.
Les faits :
🕵️♂️ Combien de concernés ?
La France est le troisième pays le plus touché par les rançongiciels, selon CrowdStrike et l’un de ceux qui paie le plus de rançons, selon Hiscox. 9 organisations françaises sur 10 interrogées par Proofpoint déclarent avoir été ciblées par une cyberattaque courant 2020 (résultat similaire chez Forrester, plus proche d’une sur 2 chez Hiscox). Le nombre de signalements pour rançongiciel auprès de l’ANSSI est passé de 54 en 2019 à 192 en 2020, soit une augmentation de 225% (l’ANSSI s’occupe en priorité des plus grosses entreprises, et notamment de celles dites “d’importance vitale”, dans la banque, l’énergie, la santé, l’alimentaire et les télécoms).
🏢 Qui est visé ? Pas forcément les plus gros ! Si l’attaque de grandes entreprises peut s’avérer lucrative pour les malfaiteurs, les PME sont très souvent ciblées car moins bien protégées. Elles constituent 95% du tissu économique français, mais 17% seulement étaient assurées en 2019 (contre 80% des entreprises du CAC 40). Par ailleurs, leurs salariés sont moins sensibilisés, ou manquent de vigilance.
💰 Combien ça coûte ? CrowdStrike estime à 4300 dollars le montant moyen des rançons demandées aux PME, mais à 46 800 dollars le coût de l’arrêt de l’activité provoqué par une cyberattaque. Par ailleurs, 8% des petites entreprises estimaient assez probable d’être attaquées en 2019, mais 55% déclarent ne pas avoir le budget pour se protéger.
Alors, faut-il payer la rançon ?
✅ Pour : les autres le font. En mai, par exemple, Colonial Pipeline a payé 5 millions de dollars pour que des pirates débloquent ses systèmes et lui permettent de livrer son pétrole à la côte Est des États-Unis.
✅ Pour : la pression sur le ou la cheffe d’entreprise au moment de l’attaque est « énorme », selon le même Guillaume Poupard. Et puis le coût de la rançon est souvent bien moins élevé que celui des réparations à faire après une cyberattaque.
❌ Contre : selon Guillaume Poupard, directeur général de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), payer la rançon revient à « alimenter le crime organisé ». Il estime aussi que certains assureurs, surtout américains, jouent un “jeu trouble”, à pousser les entreprises à payer.
❌ Contre : payer ne garantit pas la récupération des données. Sophos calcule que 8% seulement des entreprises visées par des cyberattaques dans le monde parviennent à restaurer leurs systèmes, 29% à récupérer au mieux la moitié de leurs documents.
🤔 Les assureurs peuvent-ils aider ? À se protéger contre le risque cyber, oui, à payer la rançon, pas forcément.
– En France, certains assureurs proposent une garantie paiement de rançon, en général en option, d’autres non. AXA vient de suspendre sa garantie “cyber rançonnage”. Les autres services des assureurs s’organisent généralement autour de trois axes : gestion de crise, protection de l’activité et responsabilités liées aux fuites de données. Certains acteurs du secteur proposent aussi des supports de sensibilisation.
– Par sa capacité à immobiliser l’activité d’une industrie ou d’un pays, le risque cyber a une dimension dite “catastrophique”, plus ou moins similaire au risque environnemental, ce qui le rend complexe à gérer par les assureurs.
👩🏫 Que disent les experts ? Que ce soient des représentants des autorités ou des industries concernées (assurance, cybersécurité, etc), ils et elles conseillent surtout de se préparer. Pour ça, voici par exemple les supports de prévention de l’ANSSI et ceux de France Num. Le 20 juillet, le secrétaire d’État au numérique a annoncé le lancement d’un dispositif nommé AlerteCyber, inspiré des alertes météorologiques et prévu pour prévenir les TPE-PME quand de grosses failles de sécurité sont trouvées dans les outils qu’elles emploient régulièrement.
Pour compléter ou corriger cet article et apporter vos sources, 📝 rendez-vous sur sa version participative ou venez 💬 en discuter avec nous sur Discord.
[28 juillet : ajout de la mention d’AlerteCyber]