La négociation est-elle votre meilleure stratégie en matière de ransomware ?

Par Dan Raywood • 8 Août 2024

Plutôt que de simplement payer des frais pour vous sortir d’une situation difficile liée aux ransomwares, pourriez-vous négocier votre sortie en suivant les étapes et les compétences appropriées ? Dan Raywood examine les histoires et les options.

L’année dernière a vu un débat faire rage : faut-il ou non payer une rançon à un attaquant ? Plus tôt cette année, l'ancien directeur du Centre national de cybersécurité du Royaume-Uni, Ciaran Martin dit dans un éditorial que les paiements de rançons devraient être rendus illégaux. Jen Easterly, alors directrice de la Cybersecurity and Infrastructure Security Agency a dit qu'elle ne l'avait pas fait voir une interdiction générale du paiement de rançons.

Avec ou sans interdiction de payer des rançons, le défi est de taille : lorsqu'elle est infectée par un ransomware, la victime voit généralement un écran avec une demande de paiement, le montant requis pour obtenir la clé de déchiffrement et où envoyer le paiement. S’ils n’ont pas de chance, il y a parfois un délai pour l’échéance du paiement, ce qui peut entraîner la suppression, voire la fuite, des données saisies.

Les paiements de ransomwares sont une inconnue. Nous en connaissons quelques-uns : CNA Financial payé 40 millions de dollars en 2021, tandis que l'opérateur de casino Caesars payé millions de 15 l'année dernière. Au Royaume-Uni, le 2023 Royal Mail l'attaque a vu les attaquants exiger un paiement de 80 millions de dollars, ce qui ils/elles ont déterminé représenter 0.5% des revenus de Royal Mail.

Royal Mail a qualifié ce montant d'« absurde », affirmant que 80 millions de dollars « est un montant qui ne pourrait jamais être pris au sérieux par notre conseil d'administration ». Cela amène à réfléchir au nombre de victimes qui paient une rançon – quand le montant n’est pas absurde – pour faire disparaître le logiciel malveillant.

L’un des problèmes ici est qu’il n’existe pas de chiffres réels sur qui paie quoi, et donc aucune échelle sur le montant du paiement ne peut constituer une solution.

Pas d'autre choix que de payer ?

Si vous n'avez pas d'autre choix que de payer, vous vous retrouvez face à la perspective de négociations. Dans ce cas, vous travaillez avec des criminels : vous n'avez aucune idée de qui ils sont, d'où ils viennent et à quel point ils sont organisés.

L'orientation existe, et la plupart encouragent la prudence lorsqu’on parle avec les attaquants, en évaluant ce qu’ils ont et en ne divulguant plus d’informations.

Alex Papadopoulos, directeur de la réponse aux incidents et de la préparation chez Secureworks, affirme que le processus de négociation n'est pas seulement une question de prix, mais aussi de gagner du temps. Cela vaut la peine de négocier pour mieux comprendre la position de l'attaquant.

« Ce que nous lisons dans les rapports des autres, c'est qu'ils sont généralement ouverts à la négociation parce qu'ils se rendent compte que ce n'est pas bon pour les affaires s'ils ont une ligne trop dure ; alors ils sont considérés comme complètement déraisonnables », dit-il.

De plus, le processus de négociation permettra à l’attaquant et à la victime d’en apprendre davantage l’un sur l’autre. Papadopoulos affirme que la plupart des attaques de ransomware sont opportunistes et qu'ils ne comprennent pas qui est la victime avant d'avoir commencé à leur parler.

« Ils n'ont pas consacré le temps et les efforts nécessaires pour mener cette recherche », dit-il. "Ainsi, à travers le processus de négociation, ils veulent en savoir plus sur vous et, par conséquent, sur ce que vous êtes en mesure de payer."

Cela conduit à négocier le prix : comme nous l’avons vu dans les cas évoqués précédemment, si les attaquants demandent trop, la victime ne paiera jamais. Dans d’autres cas, les attaquants demandent trop peu. Papadopoulos raconte l'histoire de certains attaquants de ransomware qui ont demandé 8 millions d'euros, et la victime a immédiatement payé car l'attaquant n'avait pas réalisé la valeur de ce qu'ils avaient saisi et ce qu'ils auraient pu demander.

Conditions d'assurance

En fait, la négociation est devenue une exigence des réclamations d’assurance. Alors qu’autrefois les entreprises proposaient uniquement des services de négociation et d’échange de paiements, affirme Papadopoulos, « la négociation est devenue une exigence pour de nombreuses compagnies d’assurance ».

Il explique que « de nombreux fournisseurs de services d’investigation numérique et de réponse aux incidents (DFIR) ont pratiquement été contraints d’entrer dans cette zone légèrement obscure et légèrement grise » de la négociation avec les cybercriminels, affirmant que les entreprises doivent avoir des personnes prêtes à accomplir cette tâche.

Cela conduit à la nécessité d’un plan de continuité des activités efficace et robuste. Si vous envisagez de vous conformer à la norme ISO 22301, vous devez alors vous assurer que vous pouvez surmonter une attaque de ransomware et rester du bon côté de la légalité.

Fixer un trou

Après la négociation, vous êtes entre les mains de l'attaquant pour obtenir la clé de déchiffrement, restaurer le système et réparer les failles par lesquelles l'attaquant est entré.

Cela conduit à des options de bonnes pratiques pour empêcher les attaquants d'accéder à l'avenir, et garantir la conformité à un cadre reconnu est une étape vers une meilleure sécurité globale.

Manoj Bahtt, membre du conseil consultatif du Club CISO, affirme qu'il existe des contrôles spécifiques que les organisations devraient envisager de mettre en œuvre pour garantir qu'elles sont protégées contre les ransomwares, et dans la norme ISO 27001:2022, ce sont :

Formation de sensibilisation à la sécurité
Accès administrateur sur les ordinateurs de bureau
Système de protection antivirus/intrusion
Gestion des vulnérabilités/configurations
Sauvegardes de données

De plus, au sein du NIST CSF 2.0, il existe des contrôles dans les six catégories qui se concentrent sur la protection des organisations contre les ransomwares, et CIS version 8.0 – Contrôle 8 : défenses contre les logiciels malveillants suggère les contrôles suivants qui peuvent aider à protéger les organisations contre les ransomwares :

8.2 S'assurer que le logiciel anti-malware et les signatures sont mis à jour
8.4 Configurer l'analyse anti-malware des supports amovibles
8.5 Configurer les appareils pour qu'ils n'exécutent pas automatiquement le contenu

Bhatt a déclaré que même s'il n'existe aucun contrôle spécifique dans les cadres de protection contre les ransomwares, car il s'agit d'un vecteur d'attaque, des conseils sont disponibles pour vous aider à mettre en œuvre les protections appropriées en premier lieu et à réduire la probabilité d'un impact.

En fin de compte, les ransomwares restent un problème important pour toutes les entreprises, mais il pourrait être intéressant de se demander s’il s’agit d’un moyen de s’en libérer. Il y a cependant la question du travail avec les criminels, et un nouveau secteur est en train d'être formé pour aider spécifiquement les praticiens à faire face à cette situation.

Avoir les bonnes protections en place, demander à un auditeur de confirmer votre niveau de sécurité et suivre les recommandations d'un cadre sur les meilleures pratiques contribuera grandement à garantir que vous n'aurez pas à faire ce travail louche.

Dan Raywood

Dan Raywood écrit sur la sécurité informatique depuis 2008 et est un ancien analyste de la pratique de sécurité de l'information chez 451 Research. Il a pris la parole lors de salons tels que 44CON, SecuriTay, SteelCon, Irisscon et Infosecurity Europe, et a également écrit pour un certain nombre de blogs de fournisseurs et présenté des émissions sur le Web.

Lire la suite de Dan Raywood

La cyber-sécurité 30 septembre 2025

La violation de Grok créera-t-elle des problèmes de sécurité généraux ? Bannière

La violation de Grok va-t-elle créer des problèmes de sécurité pour GenAI ?

Un incident récent a soulevé des inquiétudes quant à la gestion des données par les outils GenAI. Est-il temps de vous assurer que vos données ne finissent pas dans leurs bases de données ?

Dan Raywood

La cyber-sécurité 29 mai 2025

Le cadre de cybersécurité et de confidentialité du NIST fait peau neuve

Cybersécurité et confidentialité : le cadre du NIST fait peau neuve

Le NIST a récemment annoncé son intention de moderniser son cadre de protection de la vie privée pour en faire une offre plus organique et moins statique. Cela profite-t-il aux praticiens ?

Dan Raywood

La cyber-sécurité 21 Janvier 2025

vulnérabilités zero day : comment se préparer à la bannière inattendue

Vulnérabilités zero-day : comment se préparer à l’inattendu ?

Les avertissements des agences mondiales de cybersécurité ont montré que les vulnérabilités sont souvent exploitées comme des failles zero-day. Face à un contexte aussi imprévisible…

Dan Raywood