Faut-il payer les rançons en cas de cyber attaque ? Ayez des sauvegardes !

Le sujet controversé du paiement de la rançon en cas d’attaque informatique revient régulièrement sur la table, et oppose les partisans d’une négociation avec les pirates pour minimiser les pertes, aux opposants à toute transaction avec les criminels.  Luc Pernet, directeur du Développement d’Akerva, cabinet de conseil en cyber sécurité répond sur le fait de payer ou non les rançons demandées en cas de cyber attaque.

Début novembre 2023, lors d’un congrès à Washington, 48 pays ainsi que les représentants de l’UE et d’Interpol se sont engagés à ne pas payer de rançon s’ils font face à une attaque par rançongiciel. L’objectif est de montrer l’exemple et d’envoyer des « messages forts et harmonisés décourageant le paiement des rançongiciels ». C’est l’occasion de faire le point sur ce débat. 

En France, le paiement de rançon n’est pas totalement interdit

En France, le législateur n’a pas souhaité interdire totalement le paiement des rançons, pour garder la porte ouverte à quelques exceptions. Cependant, les autorités et la plupart des experts en cybersécurité conseillent de ne pas les payer pour plusieurs raisons.

Tout d’abord, parce qu’il ne faut pas entretenir ce marché très lucratif pour les criminels ave environ un demi-milliard de dollars payés en 2022. Plus ils trouveront de victimes qui acceptent de payer et plus ils seront encouragés à continuer leurs attaques contre de nouvelles entreprises et d’autres individus. Pire encore, ils auront d’autant plus les moyens d’amplifier leurs attaques et de financer d’autres activités criminelles voire terroristes. Qui a envie de soutenir le crime, et d’encourager ainsi des attaques y compris contre des hôpitaux ou d’autres infrastructures essentielles ?

 Certes, diront certaines victimes, mais peut-on se payer le luxe des principes quand on n’a plus les moyens de poursuivre son activité ? Justement, il faut être conscient qu’à peine la moitié des victimes payant la rançon récupèrent effectivement l’intégralité de leurs données, c’est 51% selon une étude publiée en 2021. Il n’y a aucune garantie que les criminels vous fourniront une clé de déchiffrement ou les moyens de récupérer vos données.

Certains rançonneurs n’hésitent pas à vendre les données même après le paiement de la rançon

Même si certains groupes poussent le cynisme jusqu’à mettre en place un véritable « Service Client » pour faciliter le paiement, cela peut constituer une perte nette pour la victime. Le risque est d’autant plus important que les cybercriminels diversifient de plus en plus leur mode opératoire, ils commencent par exfiltrer les données avant de les chiffrer, pour menacer de les publier ou de les vendre s’ils ne sont pas payés.

Et devinez quoi ? Certains n’hésitent pas à les vendre tout de même après le paiement de la rançon, ou à exploiter directement leur contenu, parfois des mois ou des années plus tard. On a même vu récemment un groupe de pirates aux USA dénoncer sa victime aux autorités pour non-signalement de fuite de données ! Il faut ajouter qu’une entreprise qui a été victime d’une cyberattaque, et a accepté de payer la première fois, voit les risques de récidive exploser :  80% des entreprises qui payent la rançon subissent une nouvelle attaque dans les mois qui suivent, par le même groupe de pirates ou par un autre.

Rançon ou pas, il est donc essentiel de lancer sans attendre de gros chantiers de sécurisation, en parallèle de la reconstruction : audits profonds du SI, mise en place d’outils appropriés en particulier pour la détection et le blocage des attaques (EDR, XDR, WAF, SOC…).

La décision de paiement de la rançon appartient aux dirigeants de l’entreprise

Bien sûr, la décision de payer ou non une rançon est complexe et appartient aux dirigeants de l’entreprise victime. Divers facteurs, y compris l’importance des données chiffrées ou la nécessité de redémarrer l’activité doivent être étudiés, tout comme les risques associés au paiement. Il est cependant fortement recommandé avant d’envisager de payer quoi que ce soit, de prévenir au plus vite les autorités compétentes, et de consulter des experts en cybersécurité pour gérer la situation.

Et puis on ne dira jamais assez que la prévention coûte beaucoup moins cher que la réparation. Avant de se retrouver dans cette situation de crise, il est donc indispensable d’investir dans des mesures de prévention et de protection, telles que des sauvegardes régulières et bien protégées, des logiciels de sécurité robustes ou encore une bonne sensibilisation des employés.

On fera réaliser régulièrement des tests d’intrusion, pour identifier les vulnérabilités avant les criminels, peut-être même en mode Red Team pour une vision plus complète. Il faut aussi anticiper les prises de décision urgentes qu’on aura à effectuer, par des procédures et des exercices de gestion de crise sans négliger la communication de crise qui elle aussi doit se préparer tant que cela est possible. Il est certainement plus profitable de bien investir son argent avant l’attaque que de le perdre après, en se faisant racketter. 

Quelques pistes pour aller plus loin :

1.          https://cyber.gouv.fr/actualites/rancongiciels-face-lampleur-de-la-menace-lanssi-et-le-ministere-de-la-justice-publient

2.          https://cyber.gouv.fr/publications/attaques-par-rancongiciels-tous-concernes

3.          https://www.cybermalveillance.gouv.fr/tous-nos-contenus/fiches-reflexes/rancongiciels-ransomwares