Les ransomwares demeurent l’une des formes les plus répandues d’attaques informatiques, représentant une menace particulièrement sérieuse en raison de leur efficacité redoutable.
À l’échelle mondiale, les pertes financières causées par les ransomwares devraient dépasser 265 milliards de dollars d’ici 2031. Ces attaques peuvent toucher même les plus grandes organisations. En juillet, un groupe de hackers a perturbé plus de 230 agences et services gouvernementaux en Indonésie en infectant des systèmes critiques d’un centre de données national.
Pourquoi les organisations sont-elles tentées de payer des rançons ?
En théorie, la menace des ransomwares pourrait être perçue comme un irritant coûteux plutôt qu’une catastrophe ; l’idée étant que le paiement de la rançon résout le problème.
Le coût du paiement d’une rançon est souvent modeste comparé aux dépenses nécessaires pour récupérer ou reconstruire des systèmes. Par exemple, le groupe responsable de l’attaque du centre de données indonésien ne demandait qu’une somme relativement modeste de 12 millions de dollars au gouvernement central.
Une étude de McGrathNicol Advisory a révélé que 73 % des organisations australiennes ayant subi une attaque par ransomware au cours des cinq dernières années ont choisi de payer la rançon.
À l’échelle mondiale, les paiements liés aux ransomwares ont dépassé le milliard de dollars pour la première fois l’année dernière, selon Chainalysis. La pratique du « big game hunting », où des groupes ciblent de grandes organisations en exigeant des rançons supérieures à un million de dollars, est en forte augmentation. Les organisations touchées sont souvent tentées de céder.
Cependant, le paiement de la rançon ne devrait pas être la décision par défaut. Par exemple, le gouvernement indonésien a choisi de ne pas payer la rançon. En Australie, il se pourrait bientôt que le paiement de rançons soit illégal, ce qui signifie qu’environ trois quarts des organisations doivent envisager d’autres moyens de faire face à cette menace.
Pourquoi l’Australie envisage de légiférer contre les paiements de rançons
Actuellement, le gouvernement australien déconseille fortement de payer en cas d’attaque par ransomware, une recommandation que trop peu de personnes suivent.
« Effectuer un paiement de rançon ne garantit pas la récupération des données sensibles ni n’empêche leur vente ou leur fuite en ligne », souligne le gouvernement sur le site du DFAT. « Vous pourriez également être ciblé par une autre attaque. Cela rend également l’Australie plus attrayante pour les groupes criminels. »
« Faciliter ou effectuer un paiement de rançon pourrait enfreindre les lois australiennes sur les sanctions et entraîner des sanctions pénales si ces paiements sont effectués à des personnes ou entités soumises à des lois de sanctions autonomes australiennes. »
En 2022, le gouvernement a envisagé d’aller plus loin en interdisant totalement les paiements de rançons. Cela a suscité des inquiétudes au sein de la communauté des affaires concernant la nature absolue d’une telle loi, et fin 2023, le gouvernement a discrètement abandonné ce projet au profit de l’introduction d’exigences de déclaration obligatoires.
Cette décision a été prise en partie pour améliorer la compréhension nationale des attaques par ransomware et de la cybercriminalité. Le sous-dénombrement des incidents de ransomware « limite notre compréhension nationale de leur véritable impact sur l’économie », a noté le gouvernement, ajoutant que l’obligation de divulguer ces incidents, « sans faute et sans responsabilité », améliorerait cette compréhension.
« En fonction de la conception, des rapports anonymisés sur les tendances des ransomwares et de l’extorsion numérique pourraient être partagés avec l’industrie et la communauté au sens large pour nous aider à prendre des mesures afin de renforcer notre résilience nationale face à la cybercriminalité », a déclaré le gouvernement.
Cependant, bien que cela ne soit pas encore illégal, les organisations doivent comprendre que le paiement de la rançon pourrait constituer une infraction aux sanctions, comme indiqué sur le site du DFAT. Cela pourrait également devenir une infraction de blanchiment d’argent, selon le Code pénal australien de 1995, si « il existe un risque que l’argent devienne un instrument de crime », et que l’organisation est « imprudente » ou « négligente » quant au fait que l’argent ou la propriété proviennent d’un crime passible d’accusation.
Il existerait des défenses juridiques contre de telles accusations que les avocats pourraient plaider. Mais l’essentiel est qu’avec une surveillance accrue et un désir de réprimer les paiements de rançons, les organisations devraient chercher des moyens alternatifs de gérer ces paiements.
Comment les Australiens devraient gérer les attaques par ransomware
Malgré les nombreux cas médiatisés de violations et d’attaques par ransomware réussies en Australie ces dernières années, la préparation reste faible, et les organisations ressentent toujours la pression de payer la rançon.
En priorité, les organisations doivent s’assurer que leurs équipes informatiques et de sécurité sont prêtes. Cela implique de maintenir les systèmes à jour ; de mettre régulièrement à jour les systèmes d’exploitation, les logiciels et les applications ; et de veiller à ce que tous les dispositifs de point d’accès soient correctement entretenus et conformes aux politiques.
Parallèlement, l’organisation devrait élaborer une stratégie de sauvegarde incluant une version isolée pour réduire le risque que les sauvegardes soient compromises par une attaque par ransomware réussie.
Ensuite, une fois l’attaque initiale traitée, il est conseillé de faire appel à un tiers pour réaliser un audit approfondi de l’environnement, déterminer si des problèmes persistants existent et où se situent les vulnérabilités.
La méthode standard de gestion des ransomwares pour les entreprises australiennes ne sera pas viable indéfiniment. Bien que les meilleures pratiques pour gérer les ransomwares soient bien connues, peu d’entreprises semblent agir avec urgence pour mieux préparer leurs environnements, ce qui les expose de plus en plus à des risques.
