banning ransomware payments

Why banning payments is not the solution to the ransomware epidemic

Version imprimable, PDF et e-mail

Ces dernières semaines, les entreprises australiennes ont été victimes d'une série d'attaques par ransomware. Comme on pouvait s'y attendre, les politiciens n'ont pas tardé à réagir. Et, comme on pouvait s'y attendre, les solutions qu'ils proposent, tout en faisant les gros titres, ne suffisent pas à répondre aux besoins. Le gouvernement de Canberra envisage désormais d'interdire purement et simplement aux entreprises du pays de payer des rançons. C'est une idée qui a été évoquée dans les capitales de nombreux pays ces dernières années. Mais elle ne tient pas compte de la réalité liée au fléau des ransomwares.

Essayer d’interdire les paiements est une solution trop simpliste à un problème complexe. Cette solution ne tient pas compte de ce qui est sans doute la principale cause de l'épidémie actuelle des ransomwares : une sécurité insuffisante pour les PME.

Une réaction spontanée

Les failles de sécurité se sont succédé à un rythme effréné en Australie le mois dernier. Parmi les organisations victimes figurent :

  • Le négociant en vins Vinomofo, qui a déclaré qu'un tiers non autorisé avait accédé illégalement à une base de données contenant les noms, dates de naissance, adresses, adresses e-mail, numéros de téléphone et sexes des clients.
  • MyDeal, filiale du groupe Woolworths, qui a révélé que 2,2 millions de clients pourraient avoir été touchés par une violation de ses systèmes de gestion de la clientèle.
  • Le géant des télécommunications Optus, dont les numéros d'identification gouvernementaux de 1,2 million de clients ont été compromis lors d'une cyberattaque en septembre. Il a ensuite été extorqué par le pirate.
  • Le ministère australien de la défense, dont le service ForceNet a été la cible de pirates utilisant des ransomwares.
  • La société d'assurance maladie Medibank, où des pirates ont accédé aux données sensibles de près de 10 millions de clients, notamment des informations sur les traitements contre la toxicomanie et les avortements. Les pirates suspectés, qui font partie du célèbre groupe REvil, ont commencé à divulguer les données après que Medibank ait refusé de payer.

La ministre australienne de la cybersécurité, Clare O'Neil, craignant une attaque contre la crédibilité du nouveau gouvernement travailliste, a annoncé la création d'un nouveau groupe de travail sur la cybersécurité afin de débusquer les « salauds » qui ont violé les données de tant d'Australiens. Elle aurait également déclaré que le gouvernement envisageait d'interdire les paiements des ransomwares par les entreprises piratées.

Pourquoi une interdiction ne fonctionnerait pas

L'idée d'une telle interdiction est simple, sur le papier. En supprimant la possibilité pour les groupes de ransomware de tirer profit des violations, les législateurs perturberaient le modèle économique à l'origine de l'épidémie actuelle. Cependant, plusieurs raisons laissent penser que cela ne fonctionnerait pas :

  • Cela pourrait pousser certains utilisateurs à effectuer des paiements clandestins, ce qui aurait un impact sur les efforts déployés par l'industrie pour lutter contre les ransomwares en dissimulant la véritable ampleur de la menace aux autorités chargées des enquêtes.
  • Une telle décision nécessiterait vraisemblablement une exception pour les fournisseurs d'infrastructures sensibles, comme la société d'exploitation d'oléoducs Colonial Pipeline, qui a dû verser 5 millions de dollars à ses extorqueurs pour remettre rapidement en service des services essentiels. Cela inciterait les pirates à s'en prendre à ces entreprises.

Une alternative serait que les assureurs ne couvrent plus les paiements de rançons, comme AXA l'a fait en France l'année dernière. Cependant, même cela pourrait ne pas avoir l'effet désiré, car les pressions pour payer pourraient être si fortes pour certaines entreprises qu'elles trouveraient l'argent auprès d'autres sources.

Faire le bon choix

Si de telles interdictions ne fonctionnent pas, que peuvent faire les acteurs du secteur pour endiguer la menace persistante que représentent les ransomwares ? En l'absence d'un prodigieux revirement géopolitique, qui verrait les nations hostiles décider de poursuivre les auteurs de ransomware plutôt que de les héberger, nous devons nous concentrer sur la prévention. Cela signifie qu'il faut améliorer la sécurité de base, en particulier dans les PME qui représentent encore la majorité des entreprises victimes.

En pratique, cela se traduit par des mesures d'hygiène relatives à la cybersécurité :

  • Des correctifs basés sur les risques
  • Un Accès Zero Trust avec authentification multifacteur
  • Une surveillance continue du réseau
  • Une détection et une réponse aux menaces
  • Une sécurité avancée des e-mails, y compris anti-phishing
  • Une mise à jour des programmes de formation de sensibilisation à la sécurité
  • Une gestion de la posture de sécurité cloud pour corriger les erreurs de configuration
  • Backups réguliers
  • Un chiffrement renforcé des données

Cependant, les fournisseurs de sécurité et les agences gouvernementales véhiculent ce message depuis des années. C'est peut-être le secteur des assurances qui détient la clé pour faire évoluer réellement les comportements des entreprises. Les compagnies d'assurance pourraient adopter une approche plus contraignante de la gestion des risques, selon laquelle la couverture serait refusée ou réduite de manière significative (et la tarification majorée) en fonction du niveau de sécurité de leurs clients. Cela constituerait une sérieuse incitation financière pour les PME à adopter les best practices et outils de sécurité.

L'heure est aux changements

Cela semble déjà être le cas, car les assureurs luttent pour limiter les coûts engendrés par les indemnités liées aux ransomwares. Mais cela doit se faire de manière plus structurée et systématique, par exemple en faisant adopter par l'ensemble du secteur des assurances un ensemble d'exigences minimales de sécurité pour les PME. Cela peut même être basé sur des frameworks existants comme les Cyber Essentials au Royaume-Uni.

Le groupe de réflexion basé à Londres, le Royal United Services Institute, a formulé des recommandations similaires dans un document officiel l'année dernière. Il a également demandé que les pouvoirs publics jouent un rôle plus important dans le partage par défaut des données relatives aux atteintes à la vie privée avec les assureurs, afin que ceux-ci puissent se faire une idée plus précise du risque chez les assurés potentiels.

Le gouvernement pourrait même légiférer pour rendre les cyberassurances obligatoires, comme l'assurance responsabilité professionnelle l'est au Royaume-Uni, du moins pour les fournisseurs du gouvernement. Les best practices pourraient ensuite être transmises à l'ensemble du monde des affaires. Mais le temps est un luxe que les protecteurs du réseau n'ont pas. Au lieu de faire la une des journaux en proposant des politiques comme l'interdiction des ransomwares, les gouvernements devraient être plus intelligents dans leur façon de s'attaquer à la plus grande menace qui pèse aujourd'hui sur les entreprises. Un bon point de départ serait d'amener le secteur de la cyberassurance à être omniprésent et à encourager les best practices en matière de sécurité.

E-book gratuit : Guide en trois étapes pour la protection contre les ransomwares

Remonter en haut de page
Tweeter
Partager
Partager