C'est le serpent qui se mord la queue. "La France est aujourd'hui l'un des pays les plus attaqués en matière de rançongiciels (...) parce que nous payons trop facilement les rançons", a déploré Johanna Brousse, qui dirige la section "cybercriminalité" du parquet de Paris, co-compétente pour toutes les affaires de rançongiciel en France, lors d'une audition devant le Sénat, jeudi 15 avril. La magistrate dénonce ainsi un effet pervers et encore peu appréhendé dans la lutte contre les cyberattaques : parce que de plus en plus d'assurances incluent le cyber-risque, de nombreuses entreprises préfèrent payer la rançon sans trop se poser de questions. Et l'assureur y trouve aussi son compte.
Le "jeu trouble des assureurs"
Effectivement, certaines assurances garantissent le paiement des rançons, un service qui est surtout proposé, pour l'instant, comme une option supplémentaire. Mais pour la magistrate, il s'agit d'une évolution dangereuse du secteur de la cyber-assurance, car le paiement des rançons incite les cybercriminels à continuer leurs attaques. Même si cela peut paraître contre-intuitif, "il faut faire comprendre à chacun que si la rançon est payée, cela va pénaliser tous les autres, parce que les pirates vont s'en prendre plus facilement à notre tissu économique", a-t-elle indiqué.
Présent à la même audition de la délégation aux entreprises du Sénat, le directeur de l'Agence nationale pour la sécurité des systèmes d'information (Anssi), Guillaume Poupard, a également évoqué le "jeu trouble de certains assureurs", qui poussent la victime à payer la rançon.
L'assureur peut préférer payer "plusieurs millions d'euros pour la rançon", plutôt que "plusieurs dizaines de millions d'euros" de préjudice provoquées par la perte des données, a-t-il expliqué. Il a également critiqué le rôle des négociateurs de rançon, qui peuvent intervenir à la demande de la compagnie d'assurance.
"Il faut faire la chasse à tous les intermédiaires un peu gris qui font un business du paiement des rançons, et qui vont se rémunérer parfois sur leur capacité à négocier avec les cybercriminels la baisse des rançons. C'est extrêmement malsain", a-t-il dit.
Explosion des attaques par rançongiciel en France
Les attaques au rançongiciel, c'est-à-dire le chiffrement des données de la victime par le cybercriminel, ont explosé en France ces dernières années et la tendance ne semble pas près de ralentir. La section spécialisée du Parquet de Paris a enregistré 397 saisines pour des affaires de rançongiciels en 2020, et prévoit d'ores et déjà que ce nombre devait "doubler" en 2021, a indiqué Johanna Brousse aux sénateurs.
"Il s'agit de la cyberattaque la plus visible et la plus rentable", souligne Thierry Karsenti, vice-président technique pour l'Europe, le Moyen-Orient et l'Afrique chez Palo Alto Networks, société de sécurité informatique. Les pirates infiltrent les systèmes d'information en envoyant un mail contenant un lien frauduleux par exemple, pour bloquer des données. Ils demandent ensuite à leurs victimes une rançon afin de pouvoir récupérer leurs informations. Lorsqu'il s'agit d'entreprises, "la prise en otage de données peut totalement paralyser l'activité", alerte l'expert.
En 2020, les montants exigés par les hackers "ont été multipliés par quatre, à environ 180.000 dollars (soit 147.600 euros) en moyenne par rançon", chiffre Thierry Karsenti. Et selon le cabinet Wavestone, qui dispose d'équipes de cyber-pompiers intervenant dans les entreprises frappées par des cyberattaques, environ 20% des entreprises attaquées paient une rançon pour tenter de récupérer leurs données.
Sujets les + commentés