Ransomware : il ne faut PAS payer les rançons... alors les assurer ? Ce qu'en disent les experts en cybersécurité

Alexandre Boero
Chargé de l'actualité de Clubic
19 octobre 2022 à 18h18
24
© Shutterstick
© Shutterstick

Les professionnels de la cybersécurité sont à l’opposé de la position du Sénat sur la question de la cyber-rançon. Pour eux, faciliter le remboursement d’une rançon réclamée puis payée à une entreprise assurée n’est franchement pas une bonne idée.

Elle est l’une des mesures les plus clivantes – polémique pour les uns, incompréhensible pour les autres –, du projet de loi d’orientation et de programmation du ministère de l’Intérieur (LOPMI). L’article 4 de ce dernier a en effet été adopté par les Sénateurs. Il ouvre la possibilité aux entreprises qui sont assurées contre le risque cyber et qui ont effectué une pré-plainte dans les 24 heures qui suivent l’attaque, sans avoir payé la rançon, d’être remboursées d’un potentiel paiement. Dans le sillage de notre dernier dossier sur les hôpitaux, plusieurs experts cyber, que nous avons pu rencontrer aux Assises de la sécurité à Monaco, ont réagi à ce texte. Et ils sont unanimes : la mesure, si elle est bien adoptée à l’issue de la navette parlementaire, conduira à financer la cybercriminalité.

Ne pas payer la rançon : une règle d’or qui semble échapper au législateur

« Je pense que c’est une grosse bêtise, et que ça revient à mettre une cible dans le dos des entreprises françaises », s’étonne Christophe Auberger, cyber-évangéliste Fortinet. Nicolas Groh, directeur technique (CTO) Europe pour Rubrik, craint que « cela ne permette aux hackers de mettre le pied à l’étrier, alors que les hôpitaux, administrations et autres sont déjà massivement touchés ». Il est vrai que les cyberattaques (ransomwares, vols de données ou intrusion dans les services informatiques) se sont multipliées ces dernières années, comme le rappelait il y a encore quelques jours le patron de l'ANSSI Guillaume Poupard au micro de France Inter.

Du coup, on retrouve la même réflexion chez David Grout, CTO Europe de Mandiant : « Malheureusement, payer une rançon alimente un système ».

Et d’un professionnel à un autre, les avis sont souvent identiques. Pour Ivan Kwiatkowski, chercheur au GReAT de Kaspersky, « la rançon, il ne faut jamais la payer, parce que ça va financer un groupe de ransomware qui va ensuite pouvoir monter en capacité, acheter des vulnérabilités, et donc se perfectionner ». Joël Mollo, vice-président de Cybereason, craint aussi que « des entreprises soient plus laxistes dans leur équipement et leurs solutions cyber, en se disant que si elles se font attaquer demain, elles pourront être remboursées ».

Au départ, le projet de loi prévoyait que l’indemnisation soit ouverte en cas de plainte déposée dans les 48 heures après le paiement de la rançon. Un amendement, approuvé par les sénateurs, est venu édulcorer un peu la chose. Le délai de la plainte a été ramené à 24 heures, et cette fois pas après le paiement de la rançon, mais après avoir identifié une attaque. Il ne faut, en outre, pas payer la rançon au hacker. De probables négociations pécuniaires devraient alors s’ouvrir entre les différentes parties : hackers, entreprises ciblées, assureurs et autorités. Pourtant, la problématique reste la même.

L’erreur serait de rendre encore plus pérenne le modèle du ransomware : il se pourrait qu’on y aille tout droit

Le législateur veut donc pousser les entreprises victimes d’un ransomware à déposer plainte. Sur le fond, l’intention nous paraît louable. « Mais il ne faut pas oublier que plus d’une entreprise sur deux qui a été attaquée ne déclare pas avoir subi une cyberattaque, par crainte que son image auprès du public n’en prenne un coup », rappelle Joël Mollo, complété par une autre statistique que nous souffle Christophe Auberger : « 25 % des entreprises paient la rançon ». Ce qui veut donc dire qu’une entreprise sur deux ayant déclaré une attaque procède au paiement de tout ou partie de la rançon.

Si rien ne change, les assureurs ne devraient bientôt pas manquer de travail :

« Généraliser le concept en disant qu'on va rembourser les rançons : oui, je comprends le point de vue de l'assureur, parce que ça coûte moins cher, c'est vachement mercantile. Mais du point de vue des entreprises, ce n'est pas bon. En payant la rançon, on n'a pas forcément l'assurance de tout récupérer, même si les cyberattaquants sont obligés de rendre les données, car autrement, le business model ne tiendrait pas. »

© Les Assises de la sécurité
© Les Assises de la sécurité

Les professionnels de la cyber sont en revanche plus divisés sur l'endroit où il faudrait placer le curseur. « La réalité, c'est qu'on parle aussi de business et d'entreprises qui peuvent mettre la clé sous la porte. Chaque cas doit être étudié de manière individuelle, pour prendre la bonne décision », soutient David Grout. « Il ne faut pas tomber dans un système à l’américaine où on ne doit pas traiter avec les cyber-terroristes. On doit procéder en bonne intelligence, en s’associant avec les bonnes autorités, comme l’ANSSI ou Cybermalveillance.gouv.fr », poursuit Christopher Auberger. C’est peut-être sur cette union sacrée autour de l’entreprise victime que les sénateurs misent. Mais est-ce raisonnable et jouable ?

Sur cette question, Ivan Kwiatkowski est catégorique. « Il ne faut pas entrer là-dedans. Quand je parle à des gens issus de divers ministères, on me dit que si on interdit à une entreprise de payer la rançon, elle coule et peut faire disparaître des emplois. J’entends aussi les autres positions, qui disent qu’il y a un tissu industriel à sauvegarder et à protéger. Mais mon opinion, c’est qu’il ne faut pas rembourser, parce que ça va inévitablement créer des incitations ». Le chercheur compare cela au concept économique de la tragédie des communs, « c'est-à-dire la maximisation d'un comportement individuel, qui est de payer et de récupérer ses données, ce qui conduit alors à une diminution de l'utilité globale pour le système ».

Penser à la sécurité avant de subir une attaque

On le sait : payer la rançon reviendrait à financer la cybercriminalité et n’aiderait pas à résoudre les problèmes. « Lorsqu'on est face à un outil de production qui est en panne et qu'on a besoin de rétablir le service, on peut être amené à réfléchir », explique alors Xavier Duros. Pour l’expert cybersécurité de Check Point Software : « Ce qu’il faut, c’est sensibiliser en incitant à mettre en place des procédures pour pouvoir réagir au maximum en cas de panne. Mieux vaut investir au plus tôt pour éviter de se faire pénaliser sur son outil de production. »

Le chercheur de Kaspersky Ivan Kwiatkowski lui emboîte le pas, ajoutant que « de nombreux incidents auraient pu être évités, si en amont il y avait eu cette préoccupation sur le versant cyber. » Payer une rançon ne garantit pas qu’il n’y ait plus d’autres problèmes à l’avenir « ou que les pirates n'aient pas laissé une porte dérobée avant de revenir plus tard, en disant qu’ils ont trouvé une nouvelle faille ».

« De nombreuses entreprises, qui avaient pourtant payé la rançon, ont de nouveau été hackées quelques mois ou quelques années plus tard », ajoute Nicolas Groh. Le cas du géant hôtelier Marriott, victime de plusieurs vols de données ces dernières années, est un bon exemple. « Je ne pense pas qu’assurer systématiquement les victimes de rançongiciel soient une bonne idée », conclue le cyberspécialiste.

Ce dossier thématique sur la cybersécurité est le second d'une série que vous pourrez découvrir ces prochains jours sur Clubic, à la suite de notre visite aux Assises de la sécurité qui se tenaient du 12 au 14 octobre à Monaco. Merci à tous les spécialistes qui ont accepté de répondre à nos questions, et rendez-vous pour les deux derniers épisodes, où nous parlerons de géopolitique, de restauration/récupération de données et d'assurance cyber.

Alexandre Boero

Alexandre Boero

Chargé de l'actualité de Clubic

Chargé de l'actualité de Clubic

Journaliste, chargé de l'actualité de CLUBIC. Reporter, vidéaste, animateur et même imitateur-chanteur, j'ai écrit mon premier article en 6ème. J'ai fait de cette vocation mon métier (diplômé de l'EJC...

Lire d'autres articles

Journaliste, chargé de l'actualité de CLUBIC. Reporter, vidéaste, animateur et même imitateur-chanteur, j'ai écrit mon premier article en 6ème. J'ai fait de cette vocation mon métier (diplômé de l'EJCAM), pour écrire, interroger, filmer, monter et produire au quotidien. Des atomes crochus avec la Tech, certes, mais aussi avec l'univers des médias, du sport et du voyage. Outre le journalisme, la prod' vidéo et l'animation, je possède une chaîne YouTube (à mon nom) qui devrait piquer votre curiosité si vous aimez les belles balades à travers le monde, les nouvelles technologies et Koh-Lanta :)

Lire d'autres articles
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (24)

peper_1_1
Le sujet est compliqué… (oui certains payent, oui il faudrait agir avant, oui certains sont assuré pour réparer les dégâts, …)<br /> Mais, finalement, se dire qu’on finance la criminalité « pour la bonne cause » (maintenir l’activité d’une entreprise), est-ce vraiment une bonne chose ?<br /> Je ne crois pas.
Mel92
On s’assure bien contre le vol et l’assurance rembourse même si le vol a été commis sous la menace d’une arme. Pourquoi y aurait-il une différence avec les ransomwares ?<br /> Au delà, pourquoi n’a t’on pas le droit de s’assurer contre n’importe quel risque ?<br /> Pour les ransomwares, il y a bien une solution pour réduire le risque : interdire la détention de cryptomonnaies. En plus, ce serait bénéfique pour tout le monde, y compris la planète.
TotO
Ca va faire augmenter la cybercriminalité et la fraude à l’assurance.
peper_1_1
Les assurances que tu cites remboursent les dommages subits.<br /> Ces assurances cyber existent dejà.
MattS32
Tel qu’a été établi le projet de loi pour encadrer ça, je trouve que c’est plutôt bien fait : obliger l’entreprise a déposer plainte avant versement et avant toute demande d’indemnisation à l’assurance, ça permet aux FDO d’intervenir rapidement, d’essayer de tracer la rançon si elle est payée, mais aussi de dissuader l’entreprise de la payer, ce qui sera plus facile si elle se sent accompagnée par des experts que quand elle est seule face au problème.<br /> C’est aussi l’occasion de faire intervenir des vrais spécialistes pour constater l’ampleur des dégats et voir ce qui peut être sauvé.<br /> Bien sûr, le revers c’est que ça peut aussi avoir un petit côté incitatif parce qu’il y aura peut-être plus de rançons payées… Mais c’est finalement un risque qu’on retrouve avec toutes les formes d’assurance contre les conséquences de délits.
MattS32
La différence c’est que dans un cas tu as une entreprise victime d’un attaquant qui est parfois contrainte de payer pour survivre.<br /> Dans l’autre, une entreprise qui collabore avec un groupe terroriste par appât du gain (la survie du groupe Lafarge n’était absolument pas menacée).
wedgantilles
Interdire la détention de cryptomonnaie ne changerai strictement rien au ransomware.<br /> Les malwares existent depuis beaucoup plus longtemps que les cryptomonnaie, le tout premier ransomware date de 1989
Winpoks
Faudrait faire des formations sauvegardes et bonnes pratiques des outils informatique.
TNZ
Et pas que …<br /> Le fait de maîtriser son outil informatique est primordial. Tout faire fonctionner avec un produit largement diffusé et bardé de trous de sécurité pour pleins de mauvaises raisons est une erreur grave.<br /> Aujourd’hui TOUTES les entreprises fonctionnent avec une AD de Microsoft et quand on voit le nombre de failles qui sont corrigées régulièrement (la dernière fournée était pleines de 0-day), il est incroyable qu’on puisse continuer à croire que tout va bien et qu’il faut avoir confiance dans les fournisseurs.<br /> Reprendre le contrôle de son SI est aujourd’hui une clé … avec la fin de support de Win10 en 2025, il va falloir passer à Win11 : processeur récent + tpm2 = parc à renouveler, compte AzureAD obligatoire = transfert du domaine dans Azure = disparition des AD locales. Pour les petites entreprises, cela représente une solution et des réductions de coût. Mais cela représente aussi le fait de donner sur un plateau toutes les clés de son organisation interne en terme de découpage des services et d’attribution des droits (ce qui est aujourd’hui une donnée stratégique). Mais bon, il y aura toujours un lobbyiste pour expliquer que c’est pour le bien de l’entreprise et que c’est sûr. Cette perte d’autonomie de la gestion du SI me fait froid dans le dos.
lightness
Oui effectivement, il faut aussi rajouter qu’il y a encore trop d’entreprises qui utilisent les logiciels de sécurité tiers : avast, bitdefender et consort … de vieux os style xp et 7 … des mots de passes bien trop simple et surtout des box orange ou sfr (dnssec OFF) dont les sav sont situés au maroc, tunisie etc… où la confidentialité est quasi inexistante et les escroqueries des employés qui vendent nos données vont bon train.
Duben
Je trouve que c’est pas si simple que de dire « il faut pas le faire ».<br /> Oui dans le meilleur des mondes, il faut pas payer, et donc pas besoin de rembourser. Mais le fait que ces voleurs ont souvent un temps d’avance sur la sécurité de beaucoup d’entreprises, parce que c’est quelque chose de complexe et couteux à mettre en place et tout le monde n’en a pas les moyens. Donc sans parler de laxisme, il est logique que certaines entreprises se fassent pirater.<br /> Mais c’est pareil pour tout. Une entreprise qui se fait cambrioler, dans ce cas, pourquoi lui permettre d’être assurée et remboursée ? C’est la même chose, le voleur aura gagné sa vie, l’entreprise sera remboursée donc mettra moins de moyens dans sa défense, et le voleur pourra revenir…<br /> Si on le fait dans un cas, pourquoi pas dans l’autre. L’interdire, c’est une vision d’élites et d’experts en cybersécurité qui voient un monde parfait ou tout le monde serait ultra protégé. Mais en réalité si on veut ça, il faut que la cyberprotection soit gratuite et accessible à tous
lightness
Il y a quand même une constante avec le gouvernement dès lors qu’il y a une escroquerie :<br /> il en fait la promotion<br /> il met en place un protocole pour la favoriser<br /> il oblige la victime à se faire escroquer et fermer son clapet pour de l’argent qu’il ne verra peut être jamais<br /> Le gouvernement est déjà composé en majorité d’escroc depuis Mitterrand (si ce n’est avant) il ne peut pas faire autre chose que favoriser la criminalité ou la fraude au nom du bien commun.<br /> PS : les 3 quarts des ransomwares demande juste de déconnecter et d’isoler le ou les postes qui sont victimes de la cyberattaque.
lightpunk
il faudrait que l’assurance finance non pas les black hat, mais les white hat (donc sans menace d’atteinte à l’entreprise), avec un barème suivant le danger que représente la faille.
adarion29
Les sénateur idiot qui font de la france une cible de premier choix pour les hacker de tout horizons, si ce texte est appliqué on risque de devenir l’un des pays les plus attaqué au monde, sans parler des effet pervers des couverture sur la mise en place de protection digne de ce nom.
KlingonBrain
Les experts ont raison.<br /> En aucun cas les assurances ne doivent êtres autorisées à financer des rançons. D’une manière évidente, cela aggraverait le problème en renforçant l’industrie criminelle.<br /> Une meilleure idée serait que les assurances puissent indemniser les conséquences financières d’une perte de données, mais à la condition légale que la rançon ne soit jamais payée.<br /> Mais d’une manière évidente, il faudrait aller plus loin et rendre le payement d’une rançon totalement illégale et passible de prison.<br /> Car outre le fait d’alimenter l’industrie du crime, cela peut devenir un moyen de fraude fiscale, d’abus de bien sociaux ou de détournement de fonds publics.<br /> Je pense qu’il ne faudra pas longtemps pour que des intermédiaires peu scrupuleux ne proposent à des entrepreneurs, voir des responsables d’administrations des services pour détourner des fonds et alimenter des comptes dans les paradis fiscaux.
kast_or
Ce qui serait marrant c’est que la liste des assurés fuite sur le net.<br /> On verrait alors une armée de hacker s acharner sur eux pour récupérer l argent de l’assurance <br /> Après les assurances ne sont pas folles, elles vont mettre plein de clauses pour ne pas rembourser :<br /> un audit de sécurité 1 fois par an (ce qui serait d’ailleurs une bonne chose)<br /> s’il s’agit d’une erreur humaine, type lien dans un email, c’est pour ta pomme<br /> …<br />
TNZ
ça existe déjà pour les cartes bancaires, ça s’appelle le PCI-DSS / PA-DSS
TNZ
Duben:<br /> Oui dans le meilleur des mondes, il faut pas payer, et donc pas besoin de rembourser. Mais le fait que ces voleurs ont souvent un temps d’avance sur la sécurité de beaucoup d’entreprises, parce que c’est quelque chose de complexe et couteux à mettre en place et tout le monde n’en a pas les moyens. Donc sans parler de laxisme, il est logique que certaines entreprises se fassent pirater.<br /> C’est surtout que les sujets de sécurité sont traités une fois que les systèmes sont mis en production.<br /> Après pour faire bouger les conservateurs de service, c’est juste la misère.<br /> A vrai dire, les pires ennemis des SI d’entreprise sont les exploitants / utilisateurs de ces SI en raison de cette incontournable résistance au changement. Plus ça résiste, plus les conséquences sont importantes. Attention, je n’ai pas dit que les cyber-attaquants sont des enfants de chœur. Mais bon, il est plus facile de gérer les équipes du SI et les utilisateurs que les cyber-attaquants de passage.<br /> (c’est devant le mur qu’on voit mieux le mur)
Comcom1
Je suis super étonné de ce genre de proposition, elle va à l’encontre de toute logique, pourquoi ne pas plutôt aider les entreprises à mieux se protéger ?<br /> Quitte à dépenser de l’argent leur proposer des audits gratuits sur l’état de sécurité des entreprises, et/ou proposer des solutions de financement ou d’aides ou que sais-je encore mais il faut être proactif et mieux protéger les entreprises former les salariés et non financer la cybercriminalité…<br /> Au pire selon le cas de l’entreprise qui a été attaquée qu’on aide à la remettre sur pied pour ne pas qu’elle ne mette la clé sous la porte mais en aucun cas payer surtout pas, ça devrait même être interdit.<br /> Il faut proposer aux entreprises de les aider surtout les petites et moyennes entreprises qui n’ont pas les moyens techniques et ou économiques de se mettre au top de la sécurité
Nerva
Matts32, il y a aussi des pays qui par appât du gain ferment les yeux sur les atrocités commises dans des pays-clients pour continuer à leur vendre des avions par dizaines de milliards d’euros, comme la France avec la Chine…
Nerva
Comcom1, pourquoi surtout ne pas apprendre aux entreprises, du petit artisan à la très grosse boîte, à faire quotidiennement des sauvegardes de leurs fichiers sur des supports DÉCONNECTÉS de leurs réseaux…
Comcom1
Oui tout à fait, faire des sauvegardes ce n’est qu’un pan, il y a aussi les accès, le personnel, les mises à jour, la configuration et j’en passe.<br /> Des choses en tout cas dont ce n’est pas le boulot d’un artisan ou que certaines grosses boites ne veulent pas entendre parler jusqu’à être confronté au problème.<br /> Du coup on en revient au fait que le gouvernement pourrait plutôt être proactif et proposer des formations, des audits et autres outils qu’on pourrait mettre à dispo des entreprises pour les aider dans ce sens sans compter des campagnes de sensibilisation (il le font déjà pour tellement de conneries que pour le coup là ça serait utile).<br /> D’ailleurs il n’y a pas que les entreprises qu’il faudrait éduquer, les particuliers aussi (ils font parti de nos entreprises sans compter leur propre sécurité numérique qui est de l’ordre du pas terrible au pitoyable…
Comcom1
Bah rien de spécifique allant dans le sens de ce que j’exprime…<br /> J’ai pas dis qu’en France on ne sait pas faire de la sécurité ou qu’il n’existait rien, je dis qu’on en fait pas la promotion, qu’on ne propose pas de financer ou d’aider à financer ces éléments ou autres actions pour mieux aider les entreprises à se protéger, savoir comment se protéger, mieux informer les salariés et etc.
Nerva
Comcom1, oui mais alors, si en parlant du gouvernement, tu évoques des politiques comme la maire de Calais qui s’imaginaient que les images Google Street étaient du direct, on n’est pas sorti de l’auberge !
Voir tous les messages sur le forum

Top meilleurs antivirus

Bitdefender
Bitdefender Voir l'offre
Norton 360
Norton 360 Voir l'offre
Avast One
Avast One Voir l'offre
  • Indépendance
  • Transparence
  • Expertise

L'équipe Clubic sélectionne et teste des centaines de produits qui répondent aux usages les plus courants, avec le meilleur rapport qualité / prix possible.

Haut de page

Sur le même sujet

Peut-on mieux protéger nos hôpitaux contre les cyberattaques ? Oui, mais… Peut-on mieux protéger nos hôpitaux contre les cyberattaques ? Oui, mais…
Cybersécurité : faut-il assurer les victimes de ransomware ? Le Sénat dit Cybersécurité : faut-il assurer les victimes de ransomware ? Le Sénat dit "oui"
Ransomware : une députée veut empêcher les assureurs de couvrir les rançons et sanctionner les entreprises Ransomware : une députée veut empêcher les assureurs de couvrir les rançons et sanctionner les entreprises
L'Irlande ne paiera pas la rançon liée au piratage informatique de son système de santé national L'Irlande ne paiera pas la rançon liée au piratage informatique de son système de santé national
Ransomware : après les hôpitaux, les écoles sont-elles les prochaines cibles des pirates ? Ransomware : après les hôpitaux, les écoles sont-elles les prochaines cibles des pirates ?