Cybersecurity
Governance, Resilience, IAM, PAM, DLP, SIEM, SOC
Ransomware : payer ou pas ?
Payer ou pas : éternelle question ! Koen Druyts et Mark Loman, deux spécialistes, avancent quelques pistes de réflexion intéressantes.
« Payer ? Bien sûr que les entreprises paient ! », s’esclaffe Koen Druyts, expert en assurance cybercriminalité, porte-parole et partenaire chez CyberContract BV.
En théorie, le message des autorités est clair : « Ne payez pas la rançon. Le paiement ne garantit en rien le déchiffrement de vos données et peut compromettre le moyen de paiement utilisé ». Mais, sur le terrain, les pratiques sont loin d’être toutes alignées sur ce mot d’ordre.
Dans une récente étude publiée par Proofpoint, une entreprise sur trois paie la rançon. Une autre étude avance un ordre de grandeur bien plus important : 46 %… Il apparait surtout que le sujet n’est plus tabou. Ces résultats laissent penser que nous avons peut-être atteint un pic dans l’évolution des ransomwares, alors que l’appétit des cybercriminels pour des rançons toujours plus élevées se heurte à un durcissement du marché de la cyber-assurance, les compagnies cherchant de plus en plus à réduire leur exposition aux ransomwares.
Les entreprises belges… les plus menacées ?
« Si nous ne disposons pas de données fiables sur le nombre de compagnies assurées, nous avons une ‘bonne vue’ du marché belge de l’assurance, relève Koen Druyts. En Belgique, on parle de 5 à 10 % maximum des entreprises qui se sont assurées contre les cyber-risques -qui ne couvrent pas tous les ransomwares. » C’est peu. Dans son dernier rapport, Hiscox avance que les entreprises belges sont les plus nombreuses à subir une attaque par ransomware (19 %). En même temps, elles sont aussi celles qui investissent le moins en matière de cybersécurité. 8 % auraient versé une rançon, contre 6 % aux Pays-Bas. L’Allemagne (21 %) et la France (19 %) paient le plus.
Ces indicateurs réclament une certaine prudence. Comme le note Mark Loman, Vice President, Software Development, Sophos, l’attitude des entreprises varie selon leur taille. Ainsi, l’adoption d’une cyberassurance augmente avec la taille de l’organisation, 88 % des organisations de 3 001 à 5 000 employés sont couvertes, contre 73 % qui comptent de 100 à 250 employés. « En tout cas, nuance Koen Druyts, un assuré ne devrait jamais déclarer qu’il est assuré contre les ransomwares. Les assureurs qui le couvrent le mentionnent explicitement dans leurs conditions générales d’assurance. Le dire, c’est encourager les cybercriminels… »
Plus de rançons, plus d’extorsions !
Il est clair que la cyberassurance a provoqué une augmentation significative de la hauteur de la demande de rançon et, avec elle, l’attraction d’attaquants plus qualifiés. D’un autre côté, les assureurs exigent un niveau de cyber-résilience beaucoup plus élevé de la part de leurs clients. Ce qui s’explique : les assureurs ne veulent pas vraiment payer. « Il faudra cependant du temps avant que les entreprises soient mieux protégées, analyse Mark Loman. Cela nécessite souvent plus de maturité de la part des équipes informatiques. »
« Fort peu d’entreprises disposent d’un bon BCP (Business Continuity Plan) après un cyber-incident, renchérit Koen Druyts. Ce seront donc probablement les entreprises non assurées qui paieront relativement plus souvent un ransomware et maintiendront l’écosystème. Parce que les entreprises assurées peuvent faire appel à la garantie de gestion des incidents de l’assureur. Et, ainsi, avoir au moins une chance de décrypter leurs systèmes eux-mêmes. »
Significatif : l’envolée du nombre d’extorsions. « Les attaques par ransomware sont depuis peu combinées à des extorsions. Les données sont d’abord volées par les pirates, ce n’est qu’ensuite qu’elles sont cryptées. Si une entreprise refuse de payer pour le décryptage et tente de redevenir opérationnelle par ses propres moyens, les criminels menacent de rendre publiques les données volées. Et donc ils extorquent leur victime avec une faille de sécurité.
Payer ? Une question de principe
Toutefois, il ne s’agit pas de brosser un portrait trop noir. La cyber-assurance entraîne des améliorations des cyberdéfense, constate Mark Loman. « 97 % des organisations qui ont une cyber-assurance ont apporté des modifications à leur cyberdéfense pour améliorer leur position en matière de cyber-assurance. 64 % ont mis en œuvre de nouvelles technologies/services, 56 % ont augmenté les activités de formation/éducation du personnel. Et 52 % ont modifié les processus/comportements. Ce sont là autant de preuve de maturité ! »
Reste la question du paiement. Le principe du paiement, plutôt. Faut-il interdire les paiements, comme le conseillent diverses autorités, notamment aux Etats-Unis et en France ? N’est-ce pas le seul moyen d’endiguer la vague d’attaques par ransomware ? « Traduisez cela un instant par le vol dans un bâtiment, illustre Koen Druyts. Faut-il interdire les assurances contre le vol parce que les gouvernements n’investissent pas dans la sécurité publique comme l’éclairage public, la police ou la justice ? Il est très facile de ne pas investir dans la sécurité et d’abandonner les victimes à leur sort… »
Interdire le paiement ? Un leurre
Même si une entreprise n’est pas autorisée à payer une rançon, le paiement aura toujours lieu, constate pour sa part Mark Loman. « Ainsi, en Italie, où les paiements d’extorsion sont illégaux, ce qui signifie que les organisations ne sont pas autorisées par la loi à payer la rançon, 43 % de ceux dont les données ont été cryptées admettent que leur organisation a payé ! »
A l’opposé, des acteurs tels que l’assureur Generali ont choisi, quant à eux, de refuser systématiquement le paiement des rançons quitte à « passer à côté de plusieurs affaires ». A l’entendre, il n’est pas question d’alimenter un système délinquant. En fait, les assureurs concernés assument le fait de privilégier le paiement de la rançon à l’indemnisation des coûts de reconstitution des données. « Si les assureurs venaient à indemniser systématiquement les coûts de reconstitution des données (soit un coût supérieur à celui de la rançon dans un certain nombre de cas), le coût de la sinistralité exploserait et de ce fait nous devrions, pour des questions de rentabilité technique et de solvabilité, réajuster à la hausse les primes d’assurance. En effet, le risque n’est plus le même et la prime non plus », défend Hiscox.
Relever le niveau de base de la cybersécurité
Côté justice, on sent bien qu’il va falloir durcir le ton en matière de rançon. « Une législation sur le sujet permettra un alignement des assureurs sur le sujet. Cela règlera d’ailleurs la question, car il y a peu de choses aussi incitatives pour faire évoluer les processus. Si le gouvernement optait pour une interdiction du paiement des rançons, cela devrait pousser les entreprises à investir dans une vraie politique de cybersécurité. »
Investir dans une topologie de réseau segmenté avec une gestion appropriée des actifs avec une surveillance active -par un humain- et une protection solide des terminaux serait notre meilleur pari. « Songez au braquage de banque, devenu un phénomène rare. Comment ? Grâce aux multiples mesures de sécurité que ces institutions ont mises en œuvre. En comparaison, et en général, nous constatons que les attaques de ransomwares menées par l’homme sont désormais menées plus rapidement pour empêcher les produits de sécurité et les défenseurs humains de remarquer leur activité sur le réseau pendant qu’ils préparent l’attaque de ransomware. Ainsi, une posture de sécurité qui dilate le temps s’avérera plus efficace. Et cela aiderait également si davantage de cybercriminels se retrouvaient en prison. »
Aux entreprises d’élever le niveau de base de la cybersécurité de manière significative : authentification à 2 facteurs, mots de passe temporaires individuels complexes, double signature lors du paiement, formation au phishing, accès aux données sur la base du ‘besoin de savoir’, sécurité informatique telle que la surveillance, etc. « Le risque résiduel n’est pas nul, conclut Koen Druyts. Il peut en partie être contrôlé en interne via un BCP (Business Continuity Planning) spécifique pour les cyber-incidents. Et, en partie également, être financé de l’extérieur par les assurances. »