Le débat sur l’interdiction par le gouvernement américain aux entreprises de payer les rançons exigées par les ransomwares fait à nouveau la une des journaux. Récemment, le groupe de travail sur les ransomwares de l’Institute for Security and Technology a publié une note à ce sujet. Il a déclaré qu’interdire le paiement des ransomwares aux États-Unis à l’heure actuelle aggraverait les dommages causés aux victimes, à la société et à l’économie. De plus, les petites entreprises ne peuvent pas supporter une interruption prolongée de leurs activités et risquent de faire faillite après une attaque par ransomware.
« À l’heure actuelle, les données limitées disponibles indiquent que la majorité des entreprises dans le monde sont encore insuffisamment préparées pour se défendre contre une attaque de ransomware ou pour s’en remettre. » Ce manque de préparation reste particulièrement problématique dans les secteurs critiques à ressources limitées qui sont actuellement fortement touchés par des attaques de ransomware, tels que la santé, l'éducation et les pouvoirs publics », écrivait le groupe de travail dans la note.
La note fait allusion à une interdiction potentielle et indique que l’approche la plus efficace pour réduire les paiements est une approche pluriannuelle. Dans le cadre de ce plan, le groupe de travail a déclaré que les gouvernements et la communauté technique doivent aider les entreprises victimes d’attaques en leur proposant des options de reprise autres que le paiement du ransomware.
En outre, les gouvernements et la communauté technique doivent renforcer le soutien aux victimes afin d’offrir aux entreprises touchées par des attaques d’autres options de récupération que le paiement de la rançon. Afin d’accroître la capacité d’une organisation à se remettre d’une attaque sans payer, le groupe de travail a proposé les quatre axes d’action suivants, chacun assorti d’étapes spécifiques :
Bien que le groupe de travail ait refusé d’interdire le paiement des rançons pour les ransomwares à l’heure actuelle, d’autres réglementations et lois influencent la décision des entreprises de payer ou non. En 2020, le département du Trésor a ajouté des sanctions potentielles pour les cyberassureurs, les analyses légales numériques et la réponse aux incidents.
En outre, la loi américaine CIRCIA de 2022 (Cyber Incident Reporting for Critical Infrastructure Act), inspirée par les attaques contre SolarWinds, Microsoft Exchange Server et Colonial Pipeline, définit les obligations de déclaration des demandes de paiement de ransomware. Les exigences en matière de reporting prévues par la loi CIRCIA stipulent que les cyberincidents doivent être signalés dans les 72 heures et les paiements de ransomware dans les 24 heures.
Alors que le débat sur une interdiction fédérale se poursuit et que les États-Unis s’efforcent d’atteindre leurs objectifs, les entreprises continuent de prendre leurs propres décisions quant au paiement ou non des rançons. La position officielle d’IBM est de ne jamais payer les auteurs d’attaques par ransomware.
Toutefois, le groupe de travail et d’autres experts estiment qu’il existe de nombreuses raisons de ne pas mettre en place une interdiction à l’heure actuelle :
Le groupe de travail a établi une feuille de route détaillée dont l’objectif est d’aider les entreprises à améliorer leur capacité à se défendre et à se remettre d’une attaque. Une fois que les organisations et les agences gouvernementales auront progressé, le groupe de travail pourra réexaminer la faisabilité de l’interdiction. Lorsque les entreprises pourront récupérer leurs données relativement facilement et reprendre leurs activités rapidement, la question du paiement des ransomwares deviendra moins problématique.