Payer ou non lorsque votre entreprise, votre organisme est pris en otage par des cyber-rançonneurs? Pas une bonne idée mais il faut en endosser les risques afférents.
A l’occasion du salon CyberSec Europe, en mai de cette année, l’agence All Colors of Communications avait sondé ses clients sur la question. Dans leur grande majorité, les responsables de ces sociétés spécialisées en (cyber-)sécurité déconseillaient de payer. Mais pour des raisons diverses et variées. Il y a bien entendu l’éthique, le principe qui veut que l’on ne paie pas de rançon à un kidnappeur – que la victime soit une personne ou des données.
Payer, c’est évidemment apporter de l’eau au moulin et encourager les rançonneurs à poursuivre leur business et à le financer.
Mais il y a aussi des raisons plus terre-à-terre: “rien ne garantit que, même en payant, vous récupérerez vos données”. Ou pire (?), ce qui sera restitué sera vérolé: “L’intégrité des données doit être vérifiée car le pirate pourrait les avoir altérées”, prévenait par exemple un directeur commercial. “Et rien ne garantit qu’il n’a pas gardé une copie ou n’a pas causé des dommages supplémentaires.”
Sans compter que l’image et le capital confiance de la société auprès de ses clients peuvent être écornés…
D’autres responsables interrogés étaient plus nuancés: “payer peut présenter un avantage du point de vue judiciaire, l’enquête numérique appliquant le principe du follow the money.” Sauf que cette chasse s’avère toujours difficile et que le recours aux crypto a encore compliqué la chose…
Autre argument en faveur d’un paiement: “C’est utile quand vous n’avez aucune autre possibilité dd récupérer d’importantes données ou de restaurer rapidement la continuité de vos activités.”
C’est là qu’intervient le conseil – fort logique – de plusieurs intervenants: faites en sorte que les hackers se retrouvent le bec dans l’eau et n’aient aucune prise sur vous, votre société et sa capacité à poursuivre ses activités. Parmi les mesures de “bon père de famille” recommandées: effectuez des sauvegardes régulières, placez-les en plusieurs endroits, testez-les, prévoyez des supports de stockage non connectés (qui ne pourront donc pas être bloqués ou contaminés).
Une gestion intelligente des sauvegardes, qui prend en compte les scénarios les plus improbables, est d’autant plus importante qu’une étude internationale récente a démontré que les pirates, évidemment, ont pensé à cette sorte d’assurance que prendraient les entreprises. Trois-quarts des sociétés sondées (près d’un millier de responsables IT et sécurité interrogés) à l’occasion de cette analyse des tendances sur les rançongiciels indiquent que les attaques qu’elles ont subies ont ciblé… leurs répertoires de sauvegarde.
En dépit de tout cela…
Cette même étude révèle que la majorité des sociétés visées par des ransomware ont bel et bien payé leurs assaillants. Pas moins de 76% parmi l’échantillon sont passées à la caisse. Mais, au bout du compte, un tiers d’entre elles n’ont pas récupéré leurs données !
A noter par ailleurs que les hackers font sans cesse monter la pression, multipliant et variant les types d’attaques contre une même cible. Une attaque par ransomware ne peut en être que le premier étage. Si la demande de rançon, exprimée en “privé”, n’aboutit pas, les hackers s’attaquent alors en effet aux sauvegardes, exfiltrent les données, menacent de les publier sur Internet ou de les revendre…
L’une des dernières trouvailles des groupes de hackers: créer des sites factices où sont placées les données dérobées d’un client et fournir un outil de recherche (pour quiconque veut bien payer ce “service”) qui permet d’effectuer des recherches sur ces données via mots-clé, nom de fichier, type de contenu… Motivation claironnée par le groupe en question: “rendre les données davantage utilisables par la communauté cybercriminelle”. Au moins cela a le mérite d’être clair…
