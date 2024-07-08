Le FBI, la CISA et la NSA déconseillent fortement aux entreprises de payer des rançons lorsqu'elles sont victimes d’attaques par ransomware. Aussi, pourquoi ne pas interdire le paiement des demandes de ransomware ?
Le sujet a été abordé lors d’un récent Oxford Cyber Forum. Jen Easterly, directrice de CISA, a commenté la question en disant : « Je pense que dans notre système américain, cela ne semble pas réalisable, d'abord d'un simple point de vue pratique. » Il est peu probable qu’il s’agisse d’une remarque purement spontanée, car la question des ransomwares est au cœur des préoccupations de tous les cyber-professionnels, et en particulier de la directrice de la CISA. Pour l'instant, il semble que sanctionner le paiement d'une rançon ne soit pas à l'ordre du jour.
Encore plus révélatrice, la réponse de Jen Easterly a été donnée lors d’une interview avec Ciaran Martin, l’ancien directeur du Centre national de cybersécurité du Royaume-Uni. Plus tôt cette année, Ciaran Martin avait appelé à interdire tous les paiements liés aux ransomwares dans un article publié dans le journal The Times .
Dans ces conditions, le paiement d’un ransomware doit-il être interdit ou non ?
Le groupe de travail sur les ransomwares de l’Institut pour la sécurité et la technologie s’est également exprimé sur le sujet. Il a déclaré que l’interdiction des paiements de ransomware aux États-Unis à l’heure actuelle ne ferait qu’aggraver la situation des victimes, de la société et de l’économie. Les petites entreprises ne peuvent généralement pas résister à une interruption prolongée et peuvent faire faillite après une attaque de ransomware.
En outre, si une interdiction était appliquée, elle pourrait entraver la réponse plus large aux menaces de ransomware. Si les entreprises risquaient des sanctions pour le paiement des rançons, elles pourraient être tentées de payer ces rançons secrètement. Cela signifie que la précision des données sur les variantes des ransomwares et les renseignements sur les menaces en pâtiraient.
Parmi les autres obstacles à l’interdiction du paiement des ransomwares figurent les fausses entreprises de « récupération de données ». Ces escrocs affirment pouvoir récupérer des données volées ou pirater le chiffrement. Mais en réalité, les secours présumés négocient avec les gangs de ransomware, en payant essentiellement la rançon et en facturant ensuite les frais aux victimes. Si le paiement des ransomwares était interdit, ces opérations douteuses augmenteraient probablement.
Certains estiment que l’interdiction pure et simple du paiement des ransomwares pourrait être considérée comme une capitulation. Elle envoie le message que la communauté de la sécurité n’a pas d’autre moyen de contrecarrer les attaques par ransomware. Au lieu de cela, le gouvernement fédéral impose le signalement des cyberincidents, comme dans le cadre de la récente loi sur le signalement des incidents cybernétiques pour les infrastructures critiques (CIRCIA ou Cyber Incident Reporting for Critical Infrastructure Act). En améliorant les taux de signalement des ransomwares, les équipes de sécurité peuvent en savoir plus sur la manière dont les attaquants opèrent et partager des renseignements sur les menaces. Ce type de solidarité numérique est considéré comme étant plus efficace que de tenter de faire face à ces menaces de manière isolée.
Les efforts déployés par les forces de l’ordre devraient également être soutenus et intensifiés afin de répondre aux menaces persistantes liées aux ransomwares. Le gang LockBit qui utilisait le ransomware-as-a-service est un exemple de grande victoire qui a permis de traduire les intrus en justice.
En outre, il existe des efforts tels que l’initiative de notification pré-ransomware de la CISA, qui vise à réduire les risques en alertant les entreprises de l’activité précoce d’un ransomware. Cette initiative a généré plus de 1 200 notifications de prévention face à des attaques par ransomware en 2023.
Le gouvernement américain est également partisan de la sécurité dès la conception. Lors d’Oxford Cyber, Mme Easterly a déclaré : « Je pense que nous avons progressé, mais je ne pense pas que nous allons banaliser le ransomware sans la mise en œuvre réussie d’une campagne Secure-by-Design ». « Nous ne pouvons pas espérer que les entreprises qui ne disposent pas d’équipes de sécurité importantes soient en mesure de sécuriser leur infrastructure à moins que cette technologie ne leur soit fournie avec un nombre de vulnérabilités considérablement réduit. »
Ce n’est un secret pour personne, le gouvernement estime être le mieux placé pour lutter contre les ransomwares : les plans sont définis de manière explicite. Il s’agit notamment de normes plus strictes en matière de signalement des incidents, d’efforts continus en matière d’application de la loi, de partage de l’information, d’efforts de collaboration et de conception sécurisée. Pour l’instant, les amendes pour le paiement d’une rançon ne font pas partie du plan.
Toutefois, de nombreuses entités, dont IBM, découragent fortement le paiement des ransomwares. Suivez plutôt les bonnes pratiques et consultez le Guide définitif des ransomwares d’IBM.