
Le Congrès accroît la pression avec de nouvelles factures visant la cybercriminalité
Le Congrès américain a pris plusieurs mesures législatives pour répondre aux cyberattaques ciblant les agences et les départements fédéraux, les infrastructures critiques privées et d'autres entreprises aux États-Unis. Ces mesures concernent de nombreux aspects, du signalement obligatoire à la mise en place d'un fonds d'aide aux victimes. Ces projets de loi visent à dissuader les cybercriminels et à renforcer les mesures de protection mises en place par le gouvernement pour lutter contre les ransomwares et d'autres cyberattaques.
Ces efforts législatifs ne devraient surprendre personne. Depuis des années, les cyberattaques lancées contre les entreprises s'intensifient. Lorsque les gangs utilisant les ransomwares se sont mis à cibler les infrastructures critiques et d'autres « gros gibiers », le gouvernement américain n'avait pas d'autre choix que de répondre avec force.
De nouvelles exigences en matière de rapports et de plus solides défenses
Les États-Unis ont identifié 16 secteurs comme étant des infrastructures critiques, qui répondent à la définition suivante :
(…) les secteurs dont les actifs, les systèmes et les réseaux, qu'ils soient physiques ou virtuels, sont considérés comme tellement indispensables pour les États-Unis que leur neutralisation ou leur destruction aurait un effet dévastateur sur la sécurité, la sécurité économique nationale, la santé ou la sûreté publique nationale, ou toute combinaison de celles-ci.
Parmi les projets de loi actuellement à l'étude, on retrouve le Cyber Incident Reporting for Critical Infrastructure Act (loi sur le signalement des cyberincidents dans les infrastructures critiques) de 2021. Cette loi exigerait la divulgation d'incidents de cybersécurité dans les 72 heures suivant leur découverte. Un nouveau bureau d'examen des cyberincidents serait ainsi créé pour recevoir et gérer ces divulgations. Ce nouveau bureau aurait plusieurs responsabilités liées à l'analyse et au signalement, et ferait partie de la Cybersecurity and Infrastructure Security Agency (CISA). Vous pouvez consulter l'audition du comité sur ce projet de loi ici.
Il existe également d'autres projets de loi portant sur la sécurité des systèmes de contrôle industriels (ICS). Ces projets exigeraient de la CISA qu'elle gère des capacités de défense des ICS en :
- Dirigeant des initiatives visant à identifier et gérer les menaces de cybersécurité visant les systèmes de contrôle industriels
- Gérant la détection des menaces et les capacités de réponse aux incidents, afin de faire face aux risques et incidents de cybersécurité
- Fournissant aux parties prenantes une assistance technique en matière de cybersécurité
- Collectant, coordonnant et fournissant des informations sur les vulnérabilités à la communauté des systèmes de contrôle industriels
Ce projet a été adopté par la Chambre des représentants et est en attente d'approbation au Sénat.
Le Sanction and Stop Ransomware Act (loi sur la sanction et l'arrêt des ransomwares) de 2021 irait encore plus loin en amenant le département d'État à désigner les États soupçonnés d'être liés aux ransomwares et à exiger du président qu'il impose des sanctions et des pénalités à ces États. Les sanctions et les pénalités seraient similaires à celles imposées aux États qui parrainent le terrorisme.
Ce que cela signifie pour les futures attaques
On ne peut pas prédire les effets de ces projets de loi sur la cybersécurité s'ils venaient à entrer en vigueur, mais nous pouvons émettre quelques suppositions :
- L'augmentation du risque pourrait effrayer les plus petits groupes de ransomware, laissant la place aux auteurs de menaces les plus imposants et les plus sophistiqués. Cela pourrait entraîner une diminution de la présence du Ransomware-as-a-Service en tant que modèle d'entreprise.
- Les auteurs de menaces prendront leur « retraite » après avoir gagné une quantité satisfaisante d'argent. C'est ce qu'ont fait les créateurs de GandCrab en 2019, bien qu'il existe des preuves montrant que certains des membres du groupe (et leur code) se sont associés à d'autres gangs.
- Les gangs qui utilisent les ransomwares et qui sont suffisamment sophistiqués pourraient commencer à utiliser un modèle « pop-up », dans lequel ils lanceraient et arrêteraient leurs opérations avec une attaque ou un délai prédéterminé. Le Federal Bureau of Investigation (FBI) enquête actuellement sur plus de 100 groupes de ransomware. Historiquement, plus de 1 000 groupes ont été identifiés. Ces chiffres vont certainement augmenter en raison de la multiplication des lois entrant en vigueur.
Les cybercriminels adorent les ransomwares, mais une augmentation des sanctions, des enquêtes coordonnées et des défenses renforcées bloquera certaines de ces attaques. Indépendamment des politiques fédérales ou étatiques, les entreprises et les particuliers doivent faire tout leur possible pour protéger leurs données et toute autre ressource. Même la meilleure des législations ne peut empêcher le vol de vos données, ni maintenir vos systèmes critiques en ligne pendant une attaque.

Rapport 2025 sur les ransomwares
Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier
S’abonner au blog de Barracuda.
Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée
Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter