Ce que l'interdiction des paiements par rançongiciel au Royaume-Uni signifie pour les organisations
Table des matières:
Le gouvernement britannique espère enrayer la multiplication des attaques de rançongiciels en interdisant ce qu’il considère comme leur principal vecteur : le paiement de rançons. L’interdiction proposée, décrite par les autorités comme un « nouveau régime de prévention du paiement de rançongiciels », empêcherait les organisations du secteur public comme les autorités locales et les fournisseurs d’infrastructures nationales critiques (INC) dans des domaines tels que l’énergie, l’eau et la santé de payer des rançons après avoir été victimes d’une attaque de rançongiciel.
Actuellement en cours de consultation, ces propositions obligeraient également les entreprises privées à informer les autorités de leur intention de payer les pirates informatiques en cas d'attaque par rançongiciel. Et si les auteurs de l'attaque par rançongiciel représentent un pays étranger ou un groupe figurant sur la liste des sanctions du Royaume-Uni, le gouvernement pourrait intervenir et suspendre les paiements. Dans le même temps, les organisations des secteurs public et privé devraient signaler les incidents de rançongiciel aux autorités, qu'elles prévoient ou non de payer des rançons.
Les réactions à ces propositions ont toutefois été mitigées, certains experts estimant qu’une interdiction du paiement de rançons pourrait être une bonne chose en obligeant les organisations à prendre la cybersécurité au sérieux. Certains se demandent cependant si une interdiction dissuaderait réellement les cybercriminels de lancer des cyberattaques et estiment que les organisations du secteur public pourraient se retrouver dans une situation précaire sans avoir la possibilité de payer les pirates informatiques. Quoi qu’il en soit, il est absolument indispensable pour toutes les organisations de mettre en place des mesures pour atténuer, contenir et se remettre des attaques de rançons.
Obligés de prendre la cybersécurité au sérieux
Si le gouvernement britannique met en œuvre sa proposition d’interdiction du paiement de rançongiciels, cela constituerait un changement significatif par rapport à son approche jusqu’ici plus passive du risque cybernétique. Sean Tilley, directeur commercial senior pour la zone EMEA chez 11:11 Systems, la plateforme cloud, décrit cette mesure comme un « changement significatif » dans la politique gouvernementale de cybersécurité, qui promet de réduire le nombre d’attaques de rançongiciels ciblant les organisations du secteur public en diminuant les récompenses financières pour les pirates.
Toutefois, pour qu’une telle interdiction soit efficace, Tilley affirme que les organismes du secteur public et les opérateurs de CNI devraient procéder à une « réévaluation proactive » de leurs stratégies de cybersécurité. Sans la possibilité de payer des pirates pour récupérer des données volées ou verrouillées, il explique que les organisations devraient mettre en œuvre des mesures défensives et des plans de récupération solides. Il ajoute : « Ce changement souligne l’importance d’investir dans des cadres de cybersécurité complets pour protéger les opérations critiques. »
Jake Moore, conseiller mondial en cybersécurité chez ESET, fabricant d'antivirus, estime qu'une interdiction de paiement de rançon constituerait un changement majeur pour les entreprises concernées. Selon lui, cela obligerait les organisations à renforcer leurs défenses informatiques avec de nouvelles approches qui leur permettraient de se remettre des attaques de rançon sans avoir à payer de rançons aux pirates.
Comme Tilley, Moore estime que les entreprises devront porter leur attention sur des mesures de cybersécurité robustes, des sauvegardes et des plans de réponse aux incidents dans le cadre de ces nouvelles règles. Mais compte tenu de la rapidité avec laquelle le paysage des menaces en ligne évolue, il craint que les entreprises puissent encore être victimes d'attaques de logiciels malveillants avec demandes de rançon malgré les efforts nouveaux et améliorés en matière d'atténuation. Par conséquent, il estime que les fuites de données « resteront un problème ».
L'interdiction pourrait tomber à plat
Bien qu’il semble raisonnable d’affirmer que l’interdiction des paiements de rançon découragerait les pirates de mener des attaques et obligerait les organisations à trouver d’autres moyens de les atténuer, certains experts doutent que cela puisse fonctionner dans la pratique.
Dan Kitchen, PDG de Razorblue, fournisseur de services informatiques gérés, s'interroge sur l'obligation de signaler les attaques de rançongiciels. Il craint notamment que la divulgation publique des attaques de rançongiciels et les dommages à la réputation que cela pourrait causer puissent amener certaines organisations à dissimuler les incidents. Il craint que cela ne rende l'interdiction inefficace.
Au lieu d’interdire le paiement de rançongiciels, Kitchen suggère que les initiatives soutenues par le gouvernement, comme le programme de certification Cyber Essentials, constituent une approche plus pratique pour lutter contre les attaques de rançongiciels. Kitchen explique que ces types de programmes offrent aux organisations la « base idéale » pour améliorer leur cybersécurité. Cependant, il encourage les entreprises à aller plus loin en créant des plans complets de réponse aux incidents en collaboration avec les gouvernements et les pairs du secteur, ce qui « améliorerait la réponse nationale globale à la cybercriminalité ».
Crystal Morin, stratège en cybersécurité chez Sysdig, une société de logiciels de sécurité informatique, anticipe également d’énormes problèmes si le gouvernement met en œuvre sa proposition d’interdiction du paiement des rançongiciels. Selon elle, si des organisations de services et d’infrastructures critiques comme les prestataires de soins de santé subissent une attaque par rançongiciel et ne peuvent pas remettre leurs systèmes en marche rapidement en payant une rançon, des vies pourraient être mises en danger.
« Dans la pratique actuelle, la décision de payer ou non une rançon revient à l’entreprise victime », explique-t-elle. « Seules les entreprises concernées ont suffisamment d’informations pour évaluer les risques et les conséquences potentiels d’un paiement ou non. »
Morin exhorte le gouvernement à envisager des plans d’urgence avant d’interdire le paiement de rançongiciels dans le secteur public. En effet, les organisations du secteur public auraient besoin de ressources pour améliorer leur résilience face aux cyberattaques et s’assurer que leurs plans de secours sont efficaces.
Elle estime qu’un soutien supplémentaire serait également nécessaire pour les fournisseurs de services et d’infrastructures critiques qui ont beaucoup à perdre en ne payant pas de rançon après avoir subi une attaque de ransomware. Décrivant cela comme une « approche de centre d’excellence », elle affirme que cela permettrait aux organisations d’être « mieux préparées » à répondre et à se remettre des attaques de ransomware.
Elle ajoute : « Dans l’ensemble, les interdictions ne feront qu’encourager les attaquants à changer de tactique, en devenant plus discrets dans leurs opérations, leurs demandes et leurs transactions. C’est un secteur lucratif qui n’est pas prêt de disparaître. »
Atténuer les attaques de ransomwares
Même si une interdiction de paiement de rançon est mise en place au Royaume-Uni, de nombreuses bonnes pratiques peuvent aider les organisations à atténuer les attaques de rançongiciel. Morin recommande aux organisations d’investir dans des mesures robustes de détection et de réponse aux menaces, de sauvegarder régulièrement leurs données et de segmenter leurs environnements cloud pour contenir les violations potentielles. Ces mesures « renforceront leur infrastructure et faciliteront la reprise en cas de refus de paiement ».
Selon Tilley de 11:11 Systems, les architectures zero-trust pourraient également contribuer à prévenir les attaques de ransomware en garantissant que les utilisateurs ne disposent que des privilèges d'accès nécessaires pour effectuer leur travail. Mais lorsque vous empruntez cette voie, il est important d'évaluer et de modifier régulièrement les privilèges d'accès.
Les attaques de ransomware sont souvent le résultat d’une erreur humaine, comme le fait de cliquer sur un lien malveillant dans un e-mail ou de définir un mot de passe faible. Il est donc important de sensibiliser les employés aux risques liés à la cybersécurité. Selon Tilley, les programmes de sensibilisation à la cybersécurité devraient inclure des informations sur le phishing, l’ingénierie sociale et d’autres menaces en ligne courantes.
En plus de cibler les utilisateurs peu informés pour propager des attaques de ransomware, les pirates informatiques peuvent également utiliser des logiciels obsolètes comme point d’entrée. Les entreprises ne peuvent donc pas se permettre d’ignorer l’importance de la gestion des correctifs. Selon Tilley, l’augmentation des attaques de ransomware signifie que les entreprises ont besoin « d’un processus rigoureux pour appliquer rapidement les correctifs de sécurité et les mises à jour à tous les systèmes et logiciels ».
Étant donné que le paysage des menaces en ligne évolue rapidement, Tilley affirme que les organisations doivent continuellement améliorer leurs processus de gestion des incidents en effectuant « des exercices réguliers et des examens post-incident ». Il ajoute : « Un plan de réponse aux incidents bien structuré permet aux organisations d'identifier, de contenir et de remédier rapidement aux incidents de sécurité, en minimisant ainsi les risques.
« perturbation opérationnelle ».
Mais la création d’un tel plan ne doit pas nécessairement être difficile. Selon Tilley, les cadres professionnels du secteur, tels que la norme ISO 27001, fournissent bon nombre des meilleures pratiques nécessaires pour atténuer les risques de ransomware et autres cybermenaces. De plus, l’adhésion à ces meilleures pratiques montrera qu’une organisation s’engage en faveur de la cybersécurité et l’aidera à favoriser une « culture continue d’amélioration de la sécurité », ajoute-t-il.
Selon M. Moore, d'ESET, l'interdiction du paiement des rançongiciels renforcera l'importance de simplifier les processus de signalement des incidents. Il indique que les entreprises doivent se préparer à cette éventualité en adoptant des outils automatisés de suivi des incidents et en suivant de près les réglementations telles que le RGPD et le NIS2. Il ajoute : « Des audits de conformité compétents et des canaux de communication clairs contribuent également à une plus grande transparence, ce qui est essentiel pour comprendre une attaque et progresser. »
Dans l’ensemble, une interdiction du paiement des rançongiciels peut sembler une bonne idée, car elle dissuade les escrocs de se lancer dans des attaques par rançongiciels, car ils n’ont rien à y gagner. Mais les choses sont bien plus nuancées. La réalité est que, même si le paiement des rançongiciels est interdit, les pirates concentreront simplement leurs efforts sur d’autres vecteurs d’attaque ou cibleront des secteurs qui ne sont pas couverts par l’interdiction générale. Sans pouvoir payer les cybercriminels qui lancent des attaques par rançongiciels, le secteur public et les opérateurs nationaux critiques pourraient voir leurs activités gravement perturbées, mettant potentiellement des vies en danger.
Une meilleure approche pourrait être que le gouvernement fournisse davantage de soutien et de ressources pour aider les organisations à dissuader les attaques de ransomware, le paiement d'une rançon étant le dernier recours, mais pas totalement exclu. Quoi qu'il en soit, les attaques de ransomware continuent de gagner en ampleur et en sophistication. Les organisations ne peuvent donc pas se permettre d'ignorer ce fait et de baisser leur garde.
