27 mars 2023
Paroles d'experts

Ransomware: payer ou ne pas payer ?

Written by Arnaud Le Men
FacebookTwitterLinkedInMessenger

Le fonctionnement d’un ransomware

Le nombre d’attaques cyber avec demande de ransomwares explose dans le monde et en France en particulier. Se pose alors une question essentielle : faut il payer ou ne pas payer lors d’une ransomware ?

Quelle que soit la nature de l’attaque, le scénario est toujours celui de la bataille navale. Avec une différence près, là on vous propose une porte de sortie financière :

Ransomware, le scénario est le même que lors d'une bataille navale. Mais l'on vous propose une porte de sortie financière : il faut payer.

Pour ne pas couler, nombre d’entreprises ont payé. À tel point que le sujet est devenu une préoccupation nationale et que les représentants du Judiciaire, du Ministère de l’Intérieur et de l’ANSSI ont tiré la sonnette d’alarme devant les Sénateurs en avril 2021.

Dans la lignée de la décision prise par le Trésor américain en octobre 2020, le message des autorités françaises est limpide : On ne paie pas de rançon. Il est interdit et illégal de payer.

Avec un angle de lecture purement économique, le paiement de la rançon est pourtant tentant. Le montant est significativement plus faible que la somme (perte d’activité et coût de la reconstruction). Sans compter l’impact réputationnel, les possibles pénalités, etc. Par ailleurs, viennent s’ajouter à la note, les investissements nécessaires en sécurité opérationnelle qui deviennent une évidence en sortie de crise.

Le paiement est donc une option tentante : c’est simple, plus rapide et « moins » coûteux qu’une reconstruction.

Pourquoi ne pas payer ?

Pourquoi interdire ? Laissons de côté les considérations éthiques et regardons les choses d’un point de vue stratégique et global.

Il ressort 2 raisons majeures à cette interdiction :

– Plus les entreprises paient, plus elles seront des cibles

Les attaquants sont dans une logique de business, ils considèrent leurs opérations comme un travail. C’est souvent comme cela qu’ils présentent leur facture « Hello, the cost of work to decode your data will be xx € ».

Pour faire leur travail ils dépensent du temps et de l’argent : identifier leur cible, rechercher des vulnérabilités, exploiter des failles, pénétrer le système, comprendre le fonctionnement de l’organisation, etc.

Leur objectif derrière le ransomware est la rentabilité.

Si les ransomware ne sont pas efficaces, l’attaquant est face à une perte financière. A un certain niveau, la somme des pertes engendrées devient dissuasive et l’intérêt de mener ce type d’opération est nul. Inversement, si les rançons sont payées, le phénomène s’accentue et s’accélère.

– Payer accentue considérablement le niveau de la menace globale

Il est important de comprendre le modèle économique des attaques cyber. Prenons le cas du ransomware et résumons le avec un schéma :

Comprendre le business model d'une ransomware

– Vous ne résolvez pas le problème. Ça ne protège pas d’une nouvelle attaque. Le mode opératoire utilisé pour attaquer est revendu à d’autres groupes criminels qui vont s’intéresser attentivement à vous.

Vous accentuez le risque cyber global. Vous participez à un écosystème malveillant qui utilisera ces fonds pour renforcer ses techniques, ses outils et sa surface d’attaque.

– La spéculation sur les marchés des cryptomonnaies se renforce. Les transactions génèrent des chandelles qui accroissent la volatilité et l’instabilité des cryptomonnaies.

– Vous financez la criminalité . Ces fonds évoluent dans des environnements criminels et peuvent servir au développement de tous types d’activités.