top of page
Rechercher

Rançongiciel. : payer ou ne pas payer

  • Terry Telford
  • 24 juin
  • 7 min de lecture
Dessin au trait vert de deux mains avec des bitcoins signifiant payer ou ne pas payer pour une rançon

Un rapport de Statistique Canada de 2023 révèle que les petites et moyennes entreprises (PME) canadiennes ont payé entre 10 000 $ et 500 000 $ par incident de rançongiciel. La majorité (84 %) a payé moins de 10 000 $, tandis que 4 % ont payé plus de 500 000 $. Lorsque ces attaques sophistiquées frappent, elles peuvent paralyser les opérations, chiffrer des données vitales et même exposer des informations sensibles, laissant les organisations en situation de crise. Pour les dirigeants, les conséquences immédiates posent une question cruciale : devons-nous payer la rançon ?


Bien que les forces de l'ordre le déconseillent systématiquement, la réalité sur le terrain est bien plus nuancée. De nombreuses entreprises, confrontées à de graves conséquences, finissent par payer. Des facteurs complexes influencent cette décision cruciale : des arguments convaincants contre, les considérations juridiques en jeu et le soutien essentiel des assureurs cyber et des forces de l'ordre.


Les conséquences d'une attaque de rançongiciel : un moment critique


Une fois qu'une attaque de rançongiciel a réussi à infiltrer un système, bloquant des données ou menaçant leur divulgation publique, l'attention immédiate se déplace de la prévention à la réponse. Le mal est fait, et l'organisation est désormais victime. À ce stade, les équipes de direction doivent peser un certain nombre de choix difficiles, souvent sous une pression intense. La décision de payer, ou non, peut avoir des conséquences considérables sur les finances, la réputation et la sécurité à long terme de l'entreprise.


Pourquoi les entreprises pourraient envisager de payer la rançon


Malgré les recommandations largement répandues de résistance, un nombre important d'organisations confrontées à des attaques de rançongiciels choisissent de payer. Selon un rapport de 2024 du Ponemon Institute, plus de la moitié (51 %) des organisations interrogées touchées par un rançongiciel ont finalement payé la somme exigée. Leurs raisons découlent souvent d'impératifs commerciaux pressants :

  • Récupération accélérée : lorsque la récupération des données par des moyens internes promet d'être longue et coûteuse, le paiement de la rançon peut sembler être le moyen le plus rapide de restaurer les systèmes critiques et de reprendre les opérations normales, minimisant ainsi les temps d'arrêt coûteux.

  • Atténuer les dommages commerciaux : les rançongiciels peuvent infliger de lourdes pertes financières et ternir la réputation d'une entreprise. La perte de revenus potentielle et l'érosion de la confiance des clients peuvent être considérables. De nombreuses organisations, craignant la divulgation publique d'une faille et la perte de confiance qui en résulte, peuvent choisir de payer pour garder l'incident secret.

  • Maîtrise des dépenses de récupération : Dans certains scénarios, le coût prévu de la reconstruction complète des systèmes, du recours à des experts en criminalistique et de l'indemnisation de la perte de productivité peut dépasser le montant de la rançon. D'un point de vue purement financier, payer peut sembler être le moindre mal.

  • Protection des données sensibles : Les attaquants exfiltrent souvent les données confidentielles des clients ou des employés avant de chiffrer les systèmes, menaçant de les divulguer publiquement si la rançon n'est pas payée. Les organisations ayant d'importantes obligations en matière de confidentialité peuvent se sentir obligées de payer pour éviter que des informations sensibles ne tombent entre de mauvaises mains.


Des affaires récentes et très médiatisées illustrent cette tendance. En 2024, Change Healthcare aurait versé 22 millions de dollars au groupe de rançongiciels en tant que service (RaaS) BlackCat pour récupérer ses services. De même, une entreprise du Fortune 50, plus tard identifiée par Bloomberg comme le géant pharmaceutique Cencora, aurait versé 75 millions de dollars sur les 150 millions réclamés au groupe Dark Angels en 2024, après le vol de 100 To de données. En 2023, Caesars Entertainment a versé 15 millions de dollars lors d'une attaque liée à ALPHV/BlackCat, qui avait initialement réclamé 30 millions de dollars.


Les dangers du paiement : pourquoi la résistance est cruciale


Bien que les pressions immédiates pour payer puissent être écrasantes, les implications plus larges de la réponse aux demandes de rançon sont souvent préjudiciables, non seulement pour l’organisation victime, mais pour l’ensemble de l’écosystème de la cybersécurité.

  • Alimenter les futures attaques : Chaque paiement de rançon réussi finance directement les entreprises criminelles, leur permettant de développer des outils plus sophistiqués, de recruter davantage d'attaquants et de lancer des attaques plus fréquentes et plus graves. Tant que les rançongiciels resteront rentables, les acteurs malveillants continueront de les exploiter.

  • Risque d’attaques répétées : les organisations connues pour avoir payé une rançon peuvent devenir la cible d’attaques futures, car elles sont perçues comme plus susceptibles de se conformer à nouveau.

  • Exigences croissantes : Dans les systèmes de « double extorsion », les attaquants peuvent exiger un paiement initial pour les clés de déchiffrement, puis un second paiement distinct pour empêcher la divulgation publique des données volées. Le paiement de la première exigence ne garantit pas la fin du calvaire.

  • Aucune garantie de récupération des données : Le risque le plus critique est peut-être l'absence de garantie. Même après avoir payé, il n'y a aucune garantie que les attaquants fourniront une clé de déchiffrement fonctionnelle ou supprimeront réellement les données exfiltrées. Le rapport du Ponemon Institute indique que seulement 13 % des organisations ayant payé leur rançon ont réussi à récupérer l'intégralité de leurs données.

  • Conséquences juridiques potentielles : Le paiement d'une rançon, en particulier si les fonds finissent entre les mains d'entités sanctionnées ou de groupes soutenus par l'État, peut entraîner de lourdes sanctions. Le Département du Trésor américain a publié un avis en 2020 soulignant que les transactions avec certains acteurs de rançongiciels pourraient enfreindre les réglementations de l'Office of Foreign Assets Control (OFAC), notamment l'International Emergency Economic Powers Act (loi sur les pouvoirs économiques d'urgence internationale) ou le Trading with the Enemy Act (loi sur le commerce avec l'ennemi). Bien que généralement légal aux États-Unis sous réserve de ces réserves, certains États, comme la Floride, la Caroline du Nord et le Tennessee, interdisent explicitement aux organisations du secteur public de payer des rançons.


Les organisations qui ont résisté avec succès aux demandes de rançon mettent souvent en avant les bénéfices à long terme, même si cela implique une reprise d'activité plus longue. Par exemple, le port de Seattle a refusé de payer le groupe de rançongiciels Rhysida en août 2024, subissant des semaines de pannes, mais évitant finalement de payer. De même, la municipalité de Cleveland n'a pas payé après une attaque en juin 2024, entraînant une fermeture du système pendant 11 jours pour restauration. MGM Resorts International a notamment refusé de payer BlackCat RaaS en septembre 2023, faisant face à des coûts de nettoyage estimés à 100 millions de dollars, mais affichant une position ferme contre la capitulation.


Tirer parti des services d'assurance et de négociation en matière de cybersécurité


Face à une attaque par rançongiciel, de nombreuses organisations se tournent vers leurs polices d'assurance cyber . Ces polices peuvent s'avérer précieuses, couvrant souvent une gamme de coûts allant au-delà du simple versement d'une rançon, notamment les pertes d'exploitation, les frais d'enquête, les frais de récupération de données et le soutien aux relations publiques. De nombreux assureurs proposent également des services proactifs avant l'intrusion, comme l'analyse des vulnérabilités et la formation des employés, pour aider leurs clients à réduire leur profil de risque.


Cependant, le paysage de l'assurance cyber évolue. Les primes augmentent, la couverture devient plus sélective et les assureurs exigent de plus en plus de leurs clients qu'ils adhèrent à des pratiques exemplaires en matière de cybersécurité, comme la mise en œuvre de l'authentification multifacteur (AMF), la sauvegarde régulière des données et la gestion des correctifs logiciels, pour bénéficier d'une couverture ou en réduire le coût.


Pour les organisations déjà touchées par un rançongiciel, les services de négociation offrent une solution de secours spécialisée. Ces courtiers tiers servent d'intermédiaires entre la victime et les cybercriminels. Leur expertise peut s'avérer cruciale pour :

  • Vérification de l’authenticité de l’attaquant : s’assurer que l’entité revendiquant la responsabilité de l’attaque est légitime.

  • Pause de l'attaque : Entamer des négociations peut parfois amener les attaquants à interrompre temporairement les agressions en cours, offrant ainsi aux victimes un temps précieux pour l'enquête et la planification de la récupération.

  • Réduction des demandes : comme on l’a vu avec Caesars Entertainment, les négociateurs peuvent parfois réduire considérablement la demande de rançon initiale.


Il est important de se rappeler que même si ces services peuvent être bénéfiques, ils ne garantissent pas un résultat positif.

 

Le rôle des forces de l'ordre


Qu'une entreprise décide ou non de payer, il est fortement recommandé de collaborer avec les forces de l'ordre . Des organismes comme le Centre canadien pour la cybersécurité (CCCS) et la GRC fournissent une assistance et des ressources essentielles aux victimes de rançongiciels.

Le rapport « État des lieux des ransomwares 2024 » de Sophos indique que 97 % des organisations touchées par un ransomware ont contacté les forces de l'ordre. Parmi elles, une part importante a bénéficié d'un soutien précieux : 61 % ont bénéficié de conseils pour gérer la situation, 60 % d'aide pour enquêter sur l'attaque et 58 % d'assistance pour récupérer leurs données chiffrées.

Signaler les incidents aux autorités comme la GRC et le CCCS est essentiel pour suivre les activités cybercriminelles, faciliter les poursuites judiciaires et contribuer à une meilleure compréhension de l'évolution des menaces. Même en cas de paiement d'une rançon, le signalement des incidents aux forces de l'ordre fournit des renseignements cruciaux qui peuvent contribuer à protéger d'autres victimes potentielles.


Une défense proactive est la meilleure défense


La décision de payer une rançon est une décision angoissante, lourde de complexités financières, opérationnelles et éthiques. Si la pression immédiate pour rétablir les opérations peut faire croire que payer est la seule option viable, il est primordial de comprendre les implications plus larges, comme le financement d'entreprises criminelles, les répercussions juridiques potentielles et la récupération de données peu fiable.

En fin de compte, la meilleure défense contre cette décision difficile est une stratégie de cybersécurité robuste et proactive. Investir dans des mesures préventives efficaces, comme des sauvegardes complètes, des audits de sécurité réguliers, la formation des employés et des systèmes sophistiqués de détection des menaces, réduit considérablement le risque de se retrouver dans une situation aussi difficile. Pour les entreprises canadiennes, comprendre ces risques et se préparer efficacement n'est pas seulement une bonne pratique ; c'est essentiel pour assurer une résilience à long terme dans un monde en ligne de plus en plus hostile.

 

bottom of page