Ransomware : Riviera Beach relance le débat sur le paiement

Ce fut un vote unanime : tous les membres du conseil municipal de Riviera Beach, en Floride, sont tombés d’accord pour débloquer des fonds exceptionnels à hauteur de 600 000 $ afin de régler une rançon. Le système d’information de la ville avait été compromis quelques semaines plus tôt par un ransomware téléchargé après le clic malheureux d’un employé municipal sur un lien malicieux reçu par courriel. Des données ont été chiffrées, mais l’impact de l’incident ne s’est pas limité à cela : la messagerie électronique a dû être interrompue, de même que les systèmes de gestion des paiements électroniques, ou encore d’enregistrement des appels d’urgence.

A la suite de l’incident, le conseil municipal a voté un investissement de 1 M$ et fait appel à des consultants externes, lesquels ont recommandé de céder au chantage et de verser la rançon demandée. Selon une porte-parole de la municipalité, l’assurance couvre ce règlement.

Pour une assurance outre-Atlantique, c’est relativement peu surprenant. Dans l’Hexagone, quelques assureurs acceptent également de couvrir le paiement de rançons, même si le sujet est loin d’être consensuel. Mais le fait est que beaucoup d’organisations semblent encore choisir de céder au chantage aux données chiffrées, comme le montrait du moins une étude réalisée par Cyberedge auprès de 1300 décideurs de la sécurité informatique dans 19 pays, dont la France, début 2018.

Chez Wavestone, Gérôme Billois ne manque pas de reconnaître la réalité de la chose : « je sais bien que les rançons sont payées (trop) souvent ». Le RSSI Loïs Samain souligne au passage que « beaucoup de sociétés travaillent pour ces assurances et s’occupent justement de payer ces rançons pour les entreprises (ils font tiers). Et ça paye chaque semaine, même en France ! »

La pratique profite bien évidemment aux cyber-délinquants. Mais qu’apporte-t-elle aux organisations concernées ? Pour Loïs Samain, certains peuvent l’appréhender comme la « dernière solution avant de tout devoir reconstruire ». Gérôme Billois relève que « ça ne change pas grand-chose au final de payer, il faut quand même tout déchiffrer, réinstaller, relancer les systèmes, etc. » Récemment, le directeur de la practice cybersécurité de Wavestone avait d’ailleurs accepté de partager son expérience relative aux enjeux de la reconstruction après une compromission par ransomware. Et force est de constater qu’ils sont nombreux.

L’un des premiers touche à la disponibilité des sauvegardes et à la capacité de restauration, comme Maersk a encore pu récemment en témoigner. Et c’est sans compter avec les délais de restauration et les efforts de nettoyage requis.

Pour Michael, RSSI dans le secteur de la santé, en définitive, payer « est une mesure comme une autre, à prendre par la direction générale, et à mettre en regard des pertes suite à l’incident ». D’où une question assurément délicate : « est-ce que la faute n’est pas de se poser des questions d’éthique lorsqu’il s’agit de sauver notre entreprise ? »

Car c’est parfois bien là la question : si des Maersk, Saint Gobain, ou Norsk Hydro, pour ne mentionner qu’eux, ont les reins suffisamment solides, ce n’est pas forcément le cas de toutes les organisations concernées.