Bercy a publié un rapport dans lequel elle ne s’oppose pas à l’indemnisation des victimes de rançongiciel par des assurances, à condition de porter plainte. Pourtant, cette proposition va à l’encontre de toutes les recommandations des experts cyber.

Une information qui va produire des effets sur l’économie des rançongiciels : dans un rapport publié le 7 septembre, le ministère de l’Économie valide l’indemnisation par les assurances des rançons, à condition que la victime porte plainte. Cette mesure « sera partie intégrante du projet de loi d’orientation et de programmation du ministère de l’Intérieur présenté en Conseil des ministres », a fait savoir Bercy.

Les autorités indiquent dans un communiqué que cette règle permettrait de « lever des ambiguïtés dommageables aux assurés comme aux assureurs ». À moyen terme, il sera proposé « de renforcer l’information des assurés sur l’étendue de leurs
garanties.
»

ransomware rançongiciel
Un rançongiciel consiste à bloquer des fichiers et des dossiers et exiger ensuite un paiement pour, en principe, les libérer. // Source : Melvyn Dadure pour Numerama

L’indemnisation par les assureurs de rançon n’est pas illégale aujourd’hui, mais elle n’est pas recommandée par tout le milieu de la cyber. En effet, elle risque d’affaiblir les efforts en cours pour bien sécuriser les systèmes d’information, puisqu’il y a d’une certaine façon la formalisation d’un filet de sécurité avec la possibilité d’avoir une indemnisation pour les dégâts occasionnés.

Fait étonnant, ce même rapport du ministère de l’Économie précise pourtant que « le paiement ne garantit pas l’obtention d’un moyen de déchiffrement, incite les cybercriminels à poursuivre leurs activités, entretient ce système frauduleux, est susceptible de contribuer au financement du terrorisme [et que] l’Anssi recommande aux victimes de ne pas payer la rançon. »

Pourquoi institutionnaliser le remboursement du paiement alors ? La direction générale du Trésor indique que les entreprises, en particulier les PME/TPE, sous-estiment encore les menaces de cyberattaque. L’indemnisation donnerait plus confiance aux sociétés de se tourner vers les assurances pour être protégé. « L’évaluation des risques par les assureurs permettrait aux acteurs de mieux prendre en compte leur exposition » peut-on lire. Par ailleurs, si les entreprises ne trouvent pas de solution d’assurance cyber chez les groupes français, elles seraient plus enclines à se tourner vers de groupes étrangers.

Moins de réticence à payer les hackers

Maintenant qu’on se le dise, cette mesure ne va absolument pas décourager les pirates. Au contraire, ils se sentiront plus à l’aise puisque les entreprises seront moins réticentes à régler la somme exigée. Aux États-Unis, la tendance est plutôt au refus de paiement : plusieurs États ont proposé d’inscrire l’interdiction de régler la rançon dans la loi dans le but de stopper l’hémorragie que subissent les entreprises américaines. En outre, les assurances conseillent de ne pas payer. Les autorités commencent à voir des résultats. Les revenus moyens tirés des rançongiciels sont en légère baisse. Cela ne veut pas dire que les attaques baissent, mais cela a pour bénéfice de réduire le rendement d’une attaque.

En France, Axa a suspendu la commercialisation de l’option « cyber rançonnage » depuis mai 2021. Elle a été suivie par Generali début 2022.

Lockbit
Les groupes de hackers reconnus ont pour habitude de publier les données dérobées si la rançon n’est pas réglée. Souvent, ils décident de tout balancer même si la victime a versé la somme demandée. // Source : Numerama

Les hackers frappent deux fois

Autre bonne raison de ne pas payer les rançons : les hackers continuent à vous harceler même après le versement de la somme exigée. Il serait naïf de croire qu’elle leur suffit. 74 % des sociétés françaises qui ont versé une somme aux pirates ont eu droit à une nouvelle attaque, moins d’un mois après la première, selon une étude de l’entreprise Cybereason. Une fois la rançon réglée, les pirates tentent une nouvelle fois de mettre la pression sur l’entreprise en menaçant ensuite de révéler les données dérobées ou tout simplement en opérant la même cyberattaque si la victime ne s’est protégée entre temps.

Les rançongiciels sont l’arme la plus rentable des pirates : le code source de ransomware bien connus, à l’instar de Babuk et Paradise, est vendu pour 950 et 593 dollars respectivement. Les logiciels les plus simples coûtent le prix d’une baguette : LockScreen coute 0,99 dollar sur certains forums.

Selon les données enregistrées par la police et la gendarmerie, la valeur médiane de la rançon réglée a atteint 6 375 euros en 2020, mais peut rapidement monter à plusieurs millions pour les grands groupes. Le groupe Hive demande par exemple 2 millions à la marque de textile Damart après une attaque le 2 septembre. Nul doute que l’annonce de Bercy donne le sourire aux pirates.