Les professionnels de la cybersécurité sont à l’opposé de la position du Sénat sur la question de la cyber-rançon. Pour eux, faciliter le remboursement d’une rançon réclamée puis payée à une entreprise assurée n’est franchement pas une bonne idée.
Elle est l’une des mesures les plus clivantes – polémique pour les uns, incompréhensible pour les autres –, du projet de loi d’orientation et de programmation du ministère de l’Intérieur (LOPMI). L’article 4 de ce dernier a en effet été adopté par les Sénateurs. Il ouvre la possibilité aux entreprises qui sont assurées contre le risque cyber et qui ont effectué une pré-plainte dans les 24 heures qui suivent l’attaque, sans avoir payé la rançon, d’être remboursées d’un potentiel paiement. Dans le sillage de notre dernier dossier sur les hôpitaux, plusieurs experts cyber, que nous avons pu rencontrer aux Assises de la sécurité à Monaco, ont réagi à ce texte. Et ils sont unanimes : la mesure, si elle est bien adoptée à l’issue de la navette parlementaire, conduira à financer la cybercriminalité.
Ne pas payer la rançon : une règle d’or qui semble échapper au législateur
« Je pense que c’est une grosse bêtise, et que ça revient à mettre une cible dans le dos des entreprises françaises », s’étonne Christophe Auberger, cyber-évangéliste Fortinet. Nicolas Groh, directeur technique (CTO) Europe pour Rubrik, craint que « cela ne permette aux hackers de mettre le pied à l’étrier, alors que les hôpitaux, administrations et autres sont déjà massivement touchés ». Il est vrai que les cyberattaques (ransomwares, vols de données ou intrusion dans les services informatiques) se sont multipliées ces dernières années, comme le rappelait il y a encore quelques jours le patron de l'ANSSI Guillaume Poupard au micro de France Inter.
Du coup, on retrouve la même réflexion chez David Grout, CTO Europe de Mandiant : « Malheureusement, payer une rançon alimente un système ».
Et d’un professionnel à un autre, les avis sont souvent identiques. Pour Ivan Kwiatkowski, chercheur au GReAT de Kaspersky, « la rançon, il ne faut jamais la payer, parce que ça va financer un groupe de ransomware qui va ensuite pouvoir monter en capacité, acheter des vulnérabilités, et donc se perfectionner ». Joël Mollo, vice-président de Cybereason, craint aussi que « des entreprises soient plus laxistes dans leur équipement et leurs solutions cyber, en se disant que si elles se font attaquer demain, elles pourront être remboursées ».
Au départ, le projet de loi prévoyait que l’indemnisation soit ouverte en cas de plainte déposée dans les 48 heures après le paiement de la rançon. Un amendement, approuvé par les sénateurs, est venu édulcorer un peu la chose. Le délai de la plainte a été ramené à 24 heures, et cette fois pas après le paiement de la rançon, mais après avoir identifié une attaque. Il ne faut, en outre, pas payer la rançon au hacker. De probables négociations pécuniaires devraient alors s’ouvrir entre les différentes parties : hackers, entreprises ciblées, assureurs et autorités. Pourtant, la problématique reste la même.
L’erreur serait de rendre encore plus pérenne le modèle du ransomware : il se pourrait qu’on y aille tout droit
Le législateur veut donc pousser les entreprises victimes d’un ransomware à déposer plainte. Sur le fond, l’intention nous paraît louable. « Mais il ne faut pas oublier que plus d’une entreprise sur deux qui a été attaquée ne déclare pas avoir subi une cyberattaque, par crainte que son image auprès du public n’en prenne un coup », rappelle Joël Mollo, complété par une autre statistique que nous souffle Christophe Auberger : « 25 % des entreprises paient la rançon ». Ce qui veut donc dire qu’une entreprise sur deux ayant déclaré une attaque procède au paiement de tout ou partie de la rançon.
Si rien ne change, les assureurs ne devraient bientôt pas manquer de travail :
« Généraliser le concept en disant qu'on va rembourser les rançons : oui, je comprends le point de vue de l'assureur, parce que ça coûte moins cher, c'est vachement mercantile. Mais du point de vue des entreprises, ce n'est pas bon. En payant la rançon, on n'a pas forcément l'assurance de tout récupérer, même si les cyberattaquants sont obligés de rendre les données, car autrement, le business model ne tiendrait pas. »
Les professionnels de la cyber sont en revanche plus divisés sur l'endroit où il faudrait placer le curseur. « La réalité, c'est qu'on parle aussi de business et d'entreprises qui peuvent mettre la clé sous la porte. Chaque cas doit être étudié de manière individuelle, pour prendre la bonne décision », soutient David Grout. « Il ne faut pas tomber dans un système à l’américaine où on ne doit pas traiter avec les cyber-terroristes. On doit procéder en bonne intelligence, en s’associant avec les bonnes autorités, comme l’ANSSI ou Cybermalveillance.gouv.fr », poursuit Christopher Auberger. C’est peut-être sur cette union sacrée autour de l’entreprise victime que les sénateurs misent. Mais est-ce raisonnable et jouable ?
Sur cette question, Ivan Kwiatkowski est catégorique. « Il ne faut pas entrer là-dedans. Quand je parle à des gens issus de divers ministères, on me dit que si on interdit à une entreprise de payer la rançon, elle coule et peut faire disparaître des emplois. J’entends aussi les autres positions, qui disent qu’il y a un tissu industriel à sauvegarder et à protéger. Mais mon opinion, c’est qu’il ne faut pas rembourser, parce que ça va inévitablement créer des incitations ». Le chercheur compare cela au concept économique de la tragédie des communs, « c'est-à-dire la maximisation d'un comportement individuel, qui est de payer et de récupérer ses données, ce qui conduit alors à une diminution de l'utilité globale pour le système ».
Penser à la sécurité avant de subir une attaque
On le sait : payer la rançon reviendrait à financer la cybercriminalité et n’aiderait pas à résoudre les problèmes. « Lorsqu'on est face à un outil de production qui est en panne et qu'on a besoin de rétablir le service, on peut être amené à réfléchir », explique alors Xavier Duros. Pour l’expert cybersécurité de Check Point Software : « Ce qu’il faut, c’est sensibiliser en incitant à mettre en place des procédures pour pouvoir réagir au maximum en cas de panne. Mieux vaut investir au plus tôt pour éviter de se faire pénaliser sur son outil de production. »
Le chercheur de Kaspersky Ivan Kwiatkowski lui emboîte le pas, ajoutant que « de nombreux incidents auraient pu être évités, si en amont il y avait eu cette préoccupation sur le versant cyber. » Payer une rançon ne garantit pas qu’il n’y ait plus d’autres problèmes à l’avenir « ou que les pirates n'aient pas laissé une porte dérobée avant de revenir plus tard, en disant qu’ils ont trouvé une nouvelle faille ».
« De nombreuses entreprises, qui avaient pourtant payé la rançon, ont de nouveau été hackées quelques mois ou quelques années plus tard », ajoute Nicolas Groh. Le cas du géant hôtelier Marriott, victime de plusieurs vols de données ces dernières années, est un bon exemple. « Je ne pense pas qu’assurer systématiquement les victimes de rançongiciel soient une bonne idée », conclue le cyberspécialiste.
Ce dossier thématique sur la cybersécurité est le second d'une série que vous pourrez découvrir ces prochains jours sur Clubic, à la suite de notre visite aux Assises de la sécurité qui se tenaient du 12 au 14 octobre à Monaco. Merci à tous les spécialistes qui ont accepté de répondre à nos questions, et rendez-vous pour les deux derniers épisodes, où nous parlerons de géopolitique, de restauration/récupération de données et d'assurance cyber.