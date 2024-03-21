Les rôles spécialisés en cybersécurité se multiplient, ce qui n’est pas surprenant compte tenu de l’évolution de l’environnement des menaces et de l’impact dévastateur des ransomwares sur de nombreuses entreprises.
Parmi ces rôles, celui de négociateur en ransomware devient de plus en plus crucial. Ces négociateurs opèrent sur les lignes de front de la cyberdéfense, en contactant directement les cybercriminels pour atténuer l’impact des attaques par ransomware sur les entreprises.
Les négociateurs en ransomware possèdent un mélange unique d'expertise technique, de psychologie et de compétences en matière de négociation qui leur permet de naviguer dans l'environnement à fort enjeu de la négociation en ransomware. Leur travail consiste à comprendre les subtilités des attaques par ransomware, à évaluer la gravité et l'impact potentiel sur l’entreprise, et à négocier des conditions permettant de réduire les dommages et de récupérer les données chiffrées.
Dans cette séance de questions-réponses exclusive et riche en informations, nous nous sommes entretenus avec Andrew Carr, directeur des programmes d'études supérieures en cybersécurité et professeur adjoint de cybersécurité à l'Université d'Utica.
M. Carr a passé plusieurs années à assurer des fonctions de supervision dans de grandes entreprises. Il possède une expertise en analyse criminalistique numérique, en tactiques, techniques et procédures des cybercriminels, en négociation de ransomware, en application de la législation relative à la confidentialité des données concernant les violations, en questions d'audit financier relatives aux cyberincidents, en enquête sur les vols de propriété intellectuelle et en traçage de cryptomonnaies.
J’ai obtenu ma licence et mon master en cybersécurité à l’Université d’Utica. Je me suis spécialisé dans la criminalistique numérique et j'ai donc obtenu au fil des ans plusieurs certifications dans ce domaine, qui sont aujourd'hui caduques. Je détiens actuellement les certifications GIAC Certified Incident Handler et CipherTrace Cryptocurrency Tracing Certified Examiner. J’ai également participé à plus de 1 000 heures de formation dans la discipline de la criminalistique numérique et de la réponse aux incidents.
Mon premier poste était celui d'analyste criminalistique numérique pour un laboratoire régional de criminologie à New York. Avant cela, j'ai effectué un stage au laboratoire de police criminelle d'un service de police local. Je n'ai donc pas suivi le chemin que suivent de nombreuses personnes en commençant par un poste dans l'infrastructure. Mon intérêt pour la criminalistique s'est développé au cours de mes études et je me suis lancé à fond dès que j'ai obtenu mon diplôme et je ne l'ai jamais regretté.
Une négociation typique commence par la recherche par les deux parties d'un résultat qui leur soit le plus favorable, tout en respectant l'intégrité de l'autre partie et de la procédure. Malheureusement, les négociations en ransomware commencent souvent par une position défavorable du négociateur et son client.
Dans ces situations, les agresseurs ont souvent un avantage considérable lorsqu'ils tentent de contrôler la cadence et l'orientation des communications en raison des besoins urgents de l’entreprise touchée de récupérer les fichiers chiffrés ou de supprimer les données exfiltrées. Il appartient au négociateur d'essayer de reprendre le plus possible contrôle de la situation et d'utiliser la communication stratégique pour reprendre le contrôle de la cadence, obtenir des informations précieuses sur le vol de données et, en fin de compte, conclure un accord qui offre à son client le meilleur résultat possible. compte tenu de la situation.
Il s'agit d'une bataille difficile, mais avec suffisamment d'informations et d'expérience, les négociateurs peuvent souvent obtenir des conditions acceptables pour leurs clients tout en réduisant leur exposition au risque.
La compétence la plus précieuse que j'ai acquise est la capacité à résoudre rapidement les problèmes. La réponse aux incidents se fait à un rythme effréné et fait souvent appel à de nouveaux outils et attaques. On apprend vite qu’il faut penser de façon critique et comprendre les choses à la volée.
Il en va de même pour les négociations sur les ransomwares. Vous essayez souvent mettre simultanément en balance les besoins d'une entreprise, comme le déchiffrage, l'exfiltration de données et la connaissance des vecteurs d'attaque, et les risques inhérents aux sanctions fédérales et aux origines et affiliations des groupes à l’origine de l’attaque. Souvent, nous rencontrons un nouveau groupe et devons résoudre les problèmes du point de vue de la négociation et du paiement pour trouver des moyens de permettre à notre client de reprendre ses activités normales sans l’exposer au risque d’encourir des sanctions. La tâche peut s'avérer ardue si l'on ne dispose pas des bonnes personnes.
De solides compétences en communication et en écriture sont essentielles pour réussir dans les négociations en ransomwares. Vous communiquez souvent sur des sommes d'argent considérables et des sujets très techniques, dans des délais très courts, avec des personnes dont la langue maternelle diffère de la vôtre. Par conséquent, votre communication doit être concise, précise et bien présentée. Même de petits problèmes de communication peuvent ultérieurement engendrer des difficultés importantes dans le processus de négociation.
Ces mêmes compétences sont importantes du point de vue de l'interaction avec le client. Une entreprise est généralement à son plus bas lors d'une négociation en ransomware, et tout le monde est généralement épuisé, stressé et confus. Il est important que le négociateur en ransomware inspire confiance en menant la discussion, anticipant les besoins de l’entreprise et respectant le même style de communication clair qui fait de lui un bon négociateur.
Les entreprises nous font confiance pour faire ce qui est le mieux pour elles, et nous devons toujours nous assurer qu’elles se sentent écoutées et comprises tout en les aidant à comprendre pleinement un processus qui leur est peut-être totalement étranger.
Le succès des négociations d'une entreprise en matière de ransomware dépend en fait de l'expertise des personnes qui négocient en son nom. Il est impératif qu'une entreprise fasse appel à un cabinet expérimenté en matière de négociations. Tenter de négocier seul peut avoir des conséquences graves qui pourraient être évitées en faisant appel à des personnes compétentes. Les compagnies d'assurance spécialisées dans la cybersécurité, les cabinets d'avocats en cybersécurité et les prestataires de réponse aux incidents réputés peuvent généralement vous fournir des recommandations de qualité sur les personnes les plus adaptées à vos négociations, mais l'essentiel est de les impliquer le plus rapidement possible.
Les ransomwares font malheureusement partie de la nouvelle réalité de l'environnement des affaires, mais certaines personnes peuvent vous aider à vous en affranchir.