Le débat sur les paiements des ransomware s'intensifie

Thèmes :
Version imprimable, PDF et e-mail

Les organisations devraient-elles céder aux demandes de rançon, pour récupérer l'accès à leurs données chiffrées ? Le débat fait rage actuellement aux États-Unis, où de plus en plus d'États décident d'interdire cette pratique. Ainsi, la Caroline du Nord, la Pennsylvanie, le Texas, l'Arizona et l'État de New York ont déjà interdit ou cherchent à interdire les paiements de rançons.

La plupart de ces réglementations ne s’appliquent qu’aux agences gouvernementales, mais la proposition de l'État de New York concernerait également les entreprises qui sont présentes dans cet État. Certains projets de loi émergent actuellement au sein du Congrès américain, et visent à interdire les paiements pour les ransomware dans les 50 États.

La logique derrière cette législation est que si tout le monde s'accorde à ne plus payer de rançon, ces activités ne seront plus lucratives pour les pirates et cela entraînera de fait une baisse radicale du nombre d'attaques. Mais selon le FBI, le problème avec ce raisonnement est que les gangs de ransomware verraient simplement ces lois comme une occasion d'extorquer davantage de fonds à une entreprise qui aurait décidé de payer la rançon, malgré ce qu'impose la loi.

Les facteurs qui pourraient pousser une organisation à délibérément enfreindre cette loi varient. Dans de nombreux cas, le coût pour l'entreprise sera beaucoup plus élevé que les sanctions qui pourraient être appliquées si l'on découvrait qu'une rançon a effectivement été versée. Dans d'autres cas, les données sont peut-être critiques et pourraient sauver des vies.

Mais, imposer une amende revient essentiellement à punir la victime d'une attaque de ransomware. Outre le fait pour l'entreprise de subir l'impact du vol de données, celle-ci subirait des sanctions supplémentaires pour avoir tenté illégalement de récupérer ses données. Une chose est sûre, face à l'étendue de ces sanctions, très peu d'entreprises admettraient avoir subi une attaque de ransomware. Et dans les faits, l'on ne pourrait plus savoir quelle est l'étendue des activités criminelles liées aux ransomware.

Le problème principal de cette approche est qu'elle se base plus sur le bâton que sur la carotte pour combattre les ransomware. Si les ransomware sont si répandus aujourd'hui, c'est que la plupart des entreprises n'en font pas suffisamment pour protéger leurs données. Les mesures qui encouragent les entreprises à garantir qu'elles pourront accéder à une copie conforme de leurs données auront probablement plus d'effet. Une campagne de sensibilisation au niveau national, qui encouragerait les entreprises à pouvoir atteindre cet objectif, permettrait de réduire drastiquement le nombre potentiel de victimes des ransomware. À mesure que les attaques de ransomware deviennent moins lucratives, leur volume devrait lui aussi baisser progressivement.

Mais la carotte n'empêche pas le besoin du bâton. Une campagne nationale pour combattre les ransomware vise également à informer le public du besoin de mesures coercitives. Le fait est que les ransomwares nuisent à l’économie. Certaines entreprises ayant subi une attaque de ransomware ont dû mettre la clé sous la porte. L'argent versé aux cybercriminels n'a pas pu être investi dans des entreprises pour créer des emplois. Au final, qu'on le veuille ou non, nous sommes tous des victimes des ransomware. Mais nous ne l'avons pas encore totalement intégré.

Remonter en haut de page
Tweeter
Partager
Partager