3ème partie : Jour J

Après avoir expliqué ce qu’elles sont et qui en sont les victimes, parlons maintenant des scénarios possibles.

Une fois que vous avez été attaqué par une demande de rançon, quelles sont vos options ?

Le paiement est, bien entendu, une solution à laquelle de nombreuses victimes ont recours pour reprendre leurs activités. La question du paiement ou du non-paiement fait l’objet d’un débat continu, notamment en ce qui concerne la légalité du paiement des demandes de rançongiciels.

À titre d’exemple, il est déjà illégal aux États-Unis et dans l’UE de faciliter le paiement de personnes, d’organisations, de régimes et, dans certains cas, de pays entiers qui figurent sur la liste des sanctions. Si elles figurent sur une telle liste (ce qui est le cas de nombreux groupes cybercriminels), les paiements vers ces entités seraient-ils considérés comme illégaux ?

Outre la légalité des choses, et en réfléchissant hypothétiquement, si les cybercriminels attaquent et demandent une rançon, que les victimes paient la rançon et que les coupables continuent à s’en tirer, une position généralisée de non-paiement serait-elle dissuasive pour ce type d’attaque ?

Par ailleurs, si le paiement d’une rançon est illégal, quelles seraient les sanctions pour une entreprise victime d’un ransomware, qui choisit de payer mais doit désormais répondre de ses actes devant le système judiciaire de son pays ? Quelles options cela laisserait-il aux entreprises ?

Ce débat vaut-il la peine d’être mené ?

L’évolution des ransomwares :

En règle générale, les scénarios de ransomware consistent en un code malveillant qui crypte rapidement les fichiers avec un chiffrement RSA à clé publique, puis supprime ces fichiers si la victime ne paie pas la rançon.

Cependant, avec des attaques notoires telles que WannaCry et NotPetya, les entreprises ont renforcé leur cyberdéfense. L’accent a été davantage mis sur les sauvegardes et les processus de restauration, de sorte que même si les fichiers étaient détruits, les organisations disposaient de copies et pouvaient facilement restaurer leurs données.

De mal en pire : Double et triple extorsion

En réponse, les cybercriminels ont également adapté leurs techniques. Plutôt que de se contenter de chiffrer les fichiers, les ransomwares à double extorsion exfiltrent d’abord les données. Cela signifie que si l’entreprise refuse de payer, les informations peuvent être divulguées en ligne ou vendues au plus offrant. Toutes les sauvegardes et les plans de récupération des données deviennent soudainement sans valeur.

Ou, comme cela s’est produit avec la clinique de psychothérapie finlandaise Vastaamo, les pirates peuvent ensuite envoyer des demandes de rançon aux patients dont les informations sensibles étaient stockées dans le système de la clinique.

Le paiement qui n’offre aucune garantie

Imaginons que vous êtes victime d’une attaque de ransomware et que la décision de payer la rançon a été prise. Le paiement est envoyé et reçu. Puis plus rien.

Je suis vraiment désolé d’être le porteur de mauvaises nouvelles, mais il est très difficile de faire fi des faits : payer une rançon ne garantit pas la récupération des données.

Selon le rapport Sophos State of Ransomware 2021, 92 % des entreprises ne récupèrent pas toutes leurs données après paiement d’une rançon. Pour une perspective accrue, 29% n’ont pas pu récupérer plus de la moitié de leurs données.

Et que peut-on en faire ? Vous l’aurez deviné : rien.

Comment réagiriez-vous ?

Récupérer les données sans payer la rançon, c’est possible ?

Et si vous ne voulez pas payer ?  Il y a toujours, bien entendu, un autre moyen.

En fait, selon cet article de ThreatPost, 80 % des victimes de ransomware ne paient pas. La principale raison invoquée est que le paiement d’une rançon ne garantit pas l’obtention d’une clé de déchiffrement. Et lorsqu’une clé de décryptage est obtenue, comme je l’ai mentionné un peu plus haut, la récupération des données peut ne pas être totale.

L’assurance cybersécurité peut aider dans différents domaines après une attaque :

  • Notifier les clients d’une violation de données
  • Rétablissement des identités personnelles des clients concernés
  • Récupérer les données compromises
  • Réparer les systèmes informatiques endommagés

Bien que certains dommages puissent être irréparables, la cyber-assurance aide les entreprises à retrouver leur « nouvelle » normalité. Une stratégie de cybersécurité comporte de nombreuses couches et si nous recommandons l’assurance cybersécurité, elle ne doit pas être considérée comme une stratégie à part entière. L’atténuation des risques par la sécurité et les contrôles correctifs devrait toujours figurer en tête de toute stratégie de cybersécurité.

Mieux vaut prévenir que guérir.