[FIC 2020] D'après Proofpoint, 33% des organisations attaquées par ransonware paient la rançon

Faut-il payer la rançon en cas d'attaque par ransomware ? Pour Loïc Guézo, directeur en stratégie cybersécurité chez Proofpoint – fournisseur américain de solutions de protection des données et des communications – la réponse est très claire : non. Interrogé par L'Usine Digitale lors du Forum International de la Cybersécurité (FIC) le 28 janvier 2020, celui qui est également directeur adjoint du CLUSIF (Club de la sécurité de l'information français) revient sur cette problématique qui touche de plus en plus d'organisations.

Les ransomwares sont fréquemment dévastateurs

L'exemple du Centre Hospitalier Universitaire (CHU) de Rouen en est le parfait exemple. L'établissement de soin a été victime d'une attaque par rançongiciel en novembre 2020 qui a paralysé son système d'information en chiffrant l'intégralité des fichiers qui s'y trouvaient. ll a touché les applications utilisées pour la gestion des blocs opératoires, les pharmacies et les prescriptions, les admissions des patients et le suivi des arrivées aux urgences. Comme tout ransomware, il a ensuite proposé à la victime de lui fournir la clé lui permettant de déchiffrer ses données contre une rançon payable en bitcoins (et donc impossible à annuler une fois payée).

"Certaines s'imaginent que payer est la bonne solution"

Premier constat : 65% des organisations interrogées par Proofpoint ont déclaré qu'elles avaient subi une attaque par rançongiciel en 2019. "C'est tout de même un chiffre conséquent", indique Loïc Guézo. Il faut ajouter à cela que 33% d'entre elles ont choisi de payer la rançon, alors que la "consigne officielle" est justement de ne jamais la payer. "Ce n'est pas que ces organisations n'ont pas entendu le message. En fait, elles font un bilan rapide avec, d'un côté, la somme qui est demandée et, de l'autre, la difficulté matérielle à organiser la reprise de l'activité. Certaines s'imaginent que payer est une bonne solution", explicite le directeur en stratégie cybersécurité.

Payer n'est pas la bonne stratégie

Les chercheurs de Proofpoint ont également découvert que 9% des organisations qui ont négocié avec les attaquants ont été frappées par une nouvelle demande de rançon. Pour Loïc Guézo, ce chiffre montre à quel point le paiement de la somme exigée n'est pas la bonne stratégie à adopter. "On voit bien que l'organisation qui paie est dans une situation de faiblesse face aux criminels", analyse-t-il.

Encore plus inquiétant, 22% des organisations qui ont accepté de payer la rançon n'ont jamais finalement eu accès à leurs données. Cette situation peut être provoquée par deux événements bien distincts : soit le code de chiffrement lui-même est "buggé", soit les cybercriminels n'honorent tout simplement pas leur engagement.

"Payer n'est qu'une partie du problème"

Pour Loïc Guézo, il ne faut pas oublier que "payer n'est qu'une partie du problème". En effet, il ne suffit pas "de déchiffrer et d'appuyer sur un bouton" pour tout remettre en ordre. Premièrement, dans certains cas, il est nécessaire de passer "sur chaque poste pour déchiffrer" et cette opération "peut prendre plusieurs heures". Deuxièmement, dans toute attaque, il est nécessaire de "reconstruire une base de confiance" en s'assurant que son SI n'est plus vulnérable. Sans cette étape, la réponse de l'organisation face à une cyberattaque "n'a pas de sens".

Sélectionné pour vous

Ferrari victime d'une cyberattaque

Le FBI arrête le créateur d'un des plus gros forums de hackers

Bpifrance lance un diagnostic de cybersécurité pour les PME