Ransomware : mieux vaut prévenir plutôt que payer !
Selon l’Anssi, entre 2019 et 2020, le nombre d’attaques par des ransomwares a été multiplié par quatre. Dans ce contexte, un rapport parlementaire publié le 13 octobre 2021 propose d’interdire aux assureurs de couvrir les rançons. La députée Valéria Faure-Muntian préconise également de sanctionner les organisations qui « procèdent au paiement des rançons ».
![Billets de banque – Pixabay – CC moerschy Ceci est une légende Alt](https://www.faceaurisque.com/wp-content/uploads/2021/11/Pixabay-CC-moerschy-1200x707-1.jpg)
Le paiement des rançons liées aux cyberattaques est un sujet très complexe. D’un côté, les victimes sont souvent tentées de payer leur cyber-agresseur, dans l’espoir (pas forcément la garantie…) de retourner rapidement à la normale, après que les systèmes d’information ont été totalement bloqués par l’attaque. C’est vrai dans le secteur privé comme dans le secteur public.
D’un autre côté, il y a une envie légitime de vouloir se protéger des risques cyber de la même façon que l’on se protégerait des risques d’inondation … Cette approche peut être assimilée à une solution de facilité pour ne pas devoir mettre en place les protections nécessaires en amont, et pouvoir faire porter par son assureur les conséquences pécuniaires d’une cyberattaque.
En 2020, les paiements de rançon ont atteint plus de 400 millions de dollars, soit plus de quatre fois leur niveau en 2019. L’enjeu est donc de taille, et les actuaires des grandes compagnies d’assurance ont déjà fait tourner leurs algorithmes pour identifier le juste niveau des primes à demander à leurs nouveaux assurés. Contrairement à une assurance voiture ou habitation, on manque encore de repères pour identifier « le juste prix » de ce type d’assurance. La mise en concurrence est donc nécessaire.
Au niveau international, la lutte contre les rançongiciels bénéficie d’une collaboration étroite avec les partenaires internationaux. Lors de la réunion du Groupe des Sept (G7) en juin dernier, les membres se sont engagés à travailler ensemble pour faire face en urgence à la menace commune et croissante des réseaux criminels de ransomware. Le G7 étudie aussi les impacts potentiels sur le secteur financier. Par exemple, le Groupe d’experts en cybercriminalité (CEG) du G7, coprésidé par le Trésor et la Banque d’Angleterre, s’est réuni les 1er et 14 septembre 2021 pour discuter des ransomwares et explorer les moyens de contribuer à améliorer la sécurité et la résilience globales contre les activités cyber malveillantes.
Aux États-Unis, l’OFAC (Office of Foreign Assets Control) du Trésor a émis le 21 septembre dernier un avis soulignant que le gouvernement des États-Unis continue de décourager fortement le paiement de rançons ou de demandes d’extorsion dans le cyberespace et reconnaît l’importance de la « cyber-hygiène » pour prévenir ou atténuer de telles attaques.
Au-delà des assurances promettant de couvrir (au moins partiellement…) ses risques financiers, le meilleur moyen de se protéger de ces risques reste l’investissement dans les initiatives de prévention, de protection et de détection des attaques pour les SI grâce aux solutions de cybersécurité disponibles aujourd’hui sur le marché.
![Julien Escribe – ISG Julien Escribe - ISG](https://www.faceaurisque.com/wp-content/uploads/2021/11/Julien-Escribe.jpg)
Julien Escribe
Partner et expert en management des systèmes d’information chez ISG, cabinet mondial de conseil et de recherche en technologie
Les plus lus…
Un arrêté et un décret, publiés les 15 et 19 juillet 2024, autorisent l'Agence nationale de sécurité des systèmes…
La directive (UE) 2024/1785 du Parlement européen et du Conseil du 24 avril 2024 modifiant la directive 2010/75/UE du…
Le règlement européen sur l'intelligence artificielle, ou IA Act, a été publié au Journal officiel de l'Union européenne le…
L'Agence nationale de la sécurité des systèmes d'information (Anssi) a lancé le 15 juillet 2024 son CyberDico, un dictionnaire…
Après avoir fêté ses 20 ans d’existence, la directive « Machines » de 2006 tirera sa révérence en 2027…
Drivecase, spécialiste de la prévention routière, propose des solutions pour renforcer les actions de sensibilisation dans le cadre professionnel.…