Bien que beaucoup pensent que la prévention des failles de sécurité constitue la meilleure ligne de conduite, rien ne garantit que les organisations ne sont pas toujours vulnérables aux attaques de ransomware, même si elles disposent d’un niveau de sécurité élevé. L’arrivée du règlement général sur la protection des données (RGPD) a incité davantage d’entreprises victimes d’attaques par ransomware à envisager de payer plutôt que d’être confrontées à des sanctions plus lourdes de la part de l’ICO.
En septembre dernier, Europol, l’agence de police de l’UE, a déclaré que le GDPR pourrait entraîner une augmentation de la cyber-extorsion dans son cinquième rapport d’évaluation de la menace de la criminalité organisée sur Internet. Ce rapport indique ce qui suit : « Les entreprises victimes de piratage pourraient préférer payer une petite rançon à un pirate pour non-divulgation plutôt que de payer l’amende élevée imposée par leur autorité compétente ».
On dit que certaines grandes entreprises ont mis de côté des réserves de bitcoins au cas où elles seraient victimes d’un ransomware, ce qui est une tactique avec laquelle de nombreux gestionnaires de risques seraient loin d’être à l’aise.
Les amendes sont alarmantes
Les amendes infligées en cas de violation des dispositions du GDPR peuvent être considérables. La violation d’articles spécifiques du règlement ou le non-respect des obligations d’une organisation peut entraîner des amendes allant jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu. S’il s’avère que la violation a porté atteinte au droit à la vie privée d’une personne, l’amende peut atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu. Parallèlement, en décembre, une étude de la société de sécurité Sophos a révélé que près de la moitié (47 %) des directeurs informatiques britanniques seraient « certainement » prêts à payer une rançon si des pirates informatiques volaient les données de leur entreprise, plutôt que de signaler la violation et de payer une amende plus élevée. Trente pour cent supplémentaires ont déclaré qu’ils envisageraient « éventuellement » de payer si la rançon était inférieure à la sanction officielle, et seulement un sur cinq (18 %) a déclaré qu’il exclurait complètement de payer les criminels.
Davantage de petites entreprises disent non
L’étude a révélé que les petites entreprises de moins de 250 employés (54 %) étaient les moins susceptibles d’envisager de payer une rançon demandée par un ransomware, contre seulement 11 % des entreprises de 500 à 750 employés. En mai, une autre société de cybersécurité, CrowdStrike, a averti que davantage d’entreprises choisiraient de payer et, selon son directeur général George Kurtz :
« Si vous avez une amende de 4 % sur votre chiffre d’affaires global, ou si vous avez un ransomware que vous pouvez payer et peut-être tranquillement faire disparaître, je pense qu’il y aura une dynamique intéressante dans le montant que le marché évalue pour le paiement des ransomwares d’entreprise ».
Les dangers du paiement
Cependant, il est toujours conseillé de ne jamais payer, car l’entreprise pourrait se retrouver encore plus exposée et sujette à d’autres attaques, sans compter qu’elle ne recevrait pas de clé pour déverrouiller les données. L’année dernière, une étude d’Imperva CyberEdge Group a révélé que 55 % des personnes interrogées ont été compromises par un ransomware en 2017 et que, parmi celles qui ont payé, 49 % ont pu récupérer leurs données, c’est-à-dire qu’elles ont été décryptées, tandis que 51 % n’ont pas pu le faire.
Le fait de payer ne garantit pas non plus le respect de la vie privée. Comme le montre la faille bien documentée d’Uber en 2016, même si l’entreprise a payé quelque 100 000 dollars (75 000 livres sterling) à des pirates informatiques, des détails ont tout de même été révélés. Aux États-Unis, l’entreprise a été condamnée à une amende de 148 millions de dollars en septembre pour ne pas avoir informé ses chauffeurs de la violation et, en novembre, les activités européennes de l’entreprise ont été condamnées à une amende de 385 000 livres sterling. Bien entendu, la décision de payer a déjà été prise et continuera de l’être si l’entreprise considère que c’est le seul moyen de poursuivre ses activités. Il peut s’agir d’une décision extrêmement difficile à prendre et s’il est nécessaire de faire de cette question une priorité, c’est bien maintenant. La résilience opérationnelle – une approche avant-gardiste La résilience opérationnelle est devenue un domaine clé de développement pour de nombreuses organisations, qui souhaitent se concentrer davantage sur la réduction de l’impact des attaques de ransomware plutôt que de s’appuyer uniquement sur des mesures de prévention. Cette stratégie vise essentiellement à garantir que les entreprises puissent continuer à fournir des services essentiels à leurs clients en cas d’incidents majeurs. Une telle approche nécessite un état d’esprit centré sur l’échec, en supposant que tous les incidents « se produiront » plutôt que « pourraient se produire ». Cependant, ce faisant, elle permet aux organisations de développer des contingences plus fortes qui, comme indiqué, peuvent aider à réduire l’impact que les attaques de ransomware peuvent avoir sur les entreprises, tout en aidant à éviter potentiellement des amendes importantes de la part de l’ICO. La FCA estime que la résilience opérationnelle devrait être une priorité pour les cadres supérieurs et les membres du conseil d’administration, les régulateurs souhaitant voir les entreprises améliorer leur préparation à résister, à absorber et à se remettre des incidents perturbateurs. La difficulté réside dans la mise en œuvre de ces pratiques dans des processus et des stratégies déjà établis.
