Un dépôt de plainte toutes les 267 cyberattaques par rançongiciel réussies. Cette estimation du service statistique de la gendarmerie expose un bilan bien maigre à l'heure où la cybermenace devient de plus en plus pesante sur les entreprises. Il faut dire que ces dernières n'ont aucune obligation de déclarer leur incident aux forces de l'ordre : la seule contrainte imposée par la loi est de déclarer la violation du système informatique à la Cnil - l'autorité des données - sous 72 heures.

Pourtant, sans l'ouverture d'une enquête judiciaire, les chances - déjà très faibles - de récupérer les données volées ou l'éventuel argent de la rançon deviennent nulles. « Nous insistons sur le dépôt de plainte car si les victimes agissent vite et en grand nombre, nous pourrons faire du recoupement et mieux cerner les cybercriminels », avance à La Tribune le major Florent Peyredieu, gendarme spécialiste des rançongiciels au sein du centre de lutte contre les cybercriminalités numériques (C3N).

Peut-être que les victimes commencent déjà à prendre conscience de ce mécanisme : un rapport de novembre 2021 du service statistique ministériel de la sécurité intérieure estime que le nombre de procédures ouvertes en lien avec des attaques par rançongiciel a augmenté de 32% entre 2019 et 2020 (avec plus d'une procédure par jour), alors qu'il ne progressait que de 3% en moyenne les années précédentes.

Lire aussi 10 mnRançongiciel : peut-on réellement casser les réseaux des cybercriminels ?

Un coup de pouce des assureurs ?

Les assureurs peuvent-ils venir à la rescousse des gendarmes et de la police nationale pour favoriser le dépôt de plainte ? Alors que le secteur de la cyberassurance peine à décoller et qu'il affiche pour le moment un ratio fortement déficitaire, les compagnies ont besoin d'un grand nombre de données pour mieux calibrer le risque et donc leurs offres.

La déclaration des sinistres auprès des entités compétentes apparaît là aussi comme un levier essentiel pour structurer le marché. C'est dans cette logique que la députée Valéria Faure-Muntian (LREM), co-présidente du groupe d'études "Assurance" à l'Assemblée national, souhaite "subordonner l'activation des garanties assurancielles au dépôt de plainte à la suite d'une cyberattaque", comme elle l'explique dans son rapport parlementaire publié mi-octobre.

Une autre initiative entre les assureurs et les autorités visent à favoriser le dépôt de plainte et la collecte des données de ces actes malveillants. Fin septembre, la division ComCyberGend de la gendarmerie a signé un partenariat avec la Fédération française de l'assurance (FFA) et la Fédération nationale des syndicats d'agents généraux d'assurance (Agéa) pour lutter contre la menace cyber. « Avec 7.000 cyber-gendarmes et 12.000 agents généraux au plus proches du terrain, ce partenariat aura une force de frappe intéressante pour faire remonter des informations », soulignait Pascal Chapelon, président de l'Agea.

Récupérer les rançons, débloquer les victimes

Le dépôt des plaintes permet en effet aux autorités de récolter des éléments techniques essentiels à l'aboutissement de leurs enquêtes. Mais ces données ont une faible durée de vie, car les cybercriminels changent régulièrement leurs serveurs, les machines utilisées dans les attaques. L'enjeu est de pouvoir analyser les systèmes de plusieurs victimes en même temps, et peu après les faits. C'est ici qu'intervient la coopération internationale, nécessaire au partage massif d'informations.

Les rançongiciels n'ont pas de frontière, et des informations collectées après une cyberattaque réussie contre une entreprise française peuvent être recoupées avec les données d'une attaque du même acteur dans n'importe quel autre pays. Résultat, même les Etats-Unis, pourtant peu enclins à la coopération, participent à l'effort international, le plus souvent fluidifié par Interpol et Europol.

Avec plus de données techniques, françaises comme étrangères, le major Peyredieu affirme qu'il y aurait une plus grande efficacité des enquêtes judiciaires : « par exemple, nous pourrions plus facilement suivre les rançons sur la blockchain, afin de geler ces fonds et de les restituer à la victime. »

Encore rares, les réussites des autorités face aux cybercriminels se sont multipliées ces derniers mois. En juin, dans les jours suivant la cyberattaque contre le gestionnaire d'oléoducs Colonial Pipeline, les autorités américaines ont justement réussi le tour de force de récupérer aux mains de l'attaquant l'équivalent en cryptomonnaie de plus de 2,3 millions de dollars, soit plus de la moitié de la rançon payée par la victime. Plus récemment, une coalition internationale menée par Europol a arrêté plusieurs hackers en Ukraine et ainsi récupéré des informations qui ont permis de déchiffrer les données de plus de 1.400 victimes.

Priorité à la relance des systèmes

Bien qu'il insiste sur le dépôt de plainte, le gradé ne se voile pas la face : « l'enquête judiciaire n'est pas la priorité lors d'une attaque. La priorité, c'est de rétablir le système informatique de la victime. » Cette réalité, les forces de l'ordre la vivent sur le terrain. Trois divisions se répartissent les cas d'attaque rançongiciel contre des entreprises françaises : le C3N pour la gendarmerie ; la Brigade de lutte contre la cybercriminalité (BL2C) et l'Office central de lutte contre la criminalité liée aux technologies de l'information et de la communication (ou OCLCTIC) pour la police.

L'affectation d'une enquête se fait en fonction de la famille du logiciel malveillant (Ryuk, REvil, Conti...), et elles sont toutes pilotées depuis 2017 par la section J3 du parquet de Paris, dédiée à la cybercriminalité. « Ce choix de répartir par famille a des avantages sur le développement de l'expertise, mais il ne correspond pas toujours à la réalité. Les cybercriminels affiliés peuvent utiliser plusieurs familles de logiciels malveillants en même temps, par exemple », nuance le major.

Lors du dépôt de plainte de la victime ou d'une saisine par le parquet, la victime se présente à la gendarmerie ou à la police, qui se chargera de récupérer des éléments techniques pour identifier la famille du rançongiciel. « Nous étudions par exemple des échantillons de fichiers chiffrés et la demande de rançon », précise notre interlocuteur. Une fois la famille identifiée, la division qui en est la spécialiste récupère le dossier.

Accompagner, pas sanctionner

Concrètement, les forces de l'ordre ne participeront pas à la remédiation de l'incident (reconstruction des systèmes, gestion de la communication, création de procédures temporaires...), mais elles pourront intervenir sur l'analyse forensique, c'est-à-dire sur la recherche des causes de l'attaque. C'est par ce biais qu'elles récupèreront des données techniques exploitables pour l'enquête judiciaire. Cette visibilité sur le système de la victime signifie que les autorités vont voir où l'entreprise a eu des faiblesses.

Snir Ben Shimol, directeur de la cybersécurité de Varonis, expliquait à La Tribune que la faible convocation des autorités par les victimes s'expliquait par la crainte de ces dernières d'être sanctionnées pour leurs manquements : « Elles ont peur de faire rentrer le régulateur sur leur système d'information et de recevoir une amende en plus des coûts causés par l'attaque. C'est un problème car si les autorités étaient impliquées suffisamment tôt dans les réponses aux attaques, les cybercriminels rencontreraient beaucoup plus de difficultés. »

En effet, depuis la mise en place du RGPD - visant à la protection des données personnelles des consommateurs - les entreprises s'exposent à des amendes pouvant aller jusqu'à 20 millions d'euros ou à hauteur de 4% du chiffre d'affaires de l'entreprise en cas de manquement aux règles. L'autorité administrative, la Cnil, pourrait ainsi tenir responsable une entité qui se ferait voler ses données. Face à ce risque d'une sanction financière, la députée Valéria Faure-Muntian défend l'idée d'une prise en charge de cette amende par les assureurs. Cette couverture supprimerait ainsi un frein supplémentaire au dépôt de plainte par un chef d'entreprise.

« Nous sommes là pour accompagner la victime, pas pour la sanctionner », balaie de son côté le major Peyredieu, en soulignant que le rôle de la Cnil et celui de la gendarmerie sont différents. Concrètement, le corps de l'armée peut mener les négociations avec les rançonneurs, selon des objectifs fixés par la victime, tant qu'ils restent dans les limites des dispositions inscrites dans la loi. « Le plus souvent, notre objectif est de diminuer le prix de la rançon ou de gagner du temps pour les équipes de remédiation. Nous avons aussi les compétences techniques pour vérifier que l'outil de déchiffrement va fonctionner », développe-t-il.

Si la gendarmerie promeut le non-paiement des rançons, elle accompagnera tout de même la victime si elle décide de payer, un choix très discuté mais légal. Autrement dit, elle tâche de ne donner aucune raison de craindre son intervention.