Ransomware : la Caroline du Nord interdit au secteur public de céder

Le texte adopté début avril par la Caroline du Nord est sans ambiguïté : « aucune agence d’État ou entité gouvernementale locale ne doit soumettre un paiement ou communiquer de quelque manière que ce soit avec une entité qui s’est engagée dans un incident de cybersécurité sur un système de technologie de l’information, en chiffrant des données et en proposant ensuite de déchiffrer ces données en échange du paiement d’une rançon ».

C’est donc clair : les administrations et entités de gouvernement de Caroline du Nord n’ont plus le droit de communiquer avec les cyberdélinquants ayant conduit, contre elles, des cyberattaques avec ransomware, et encore moins de céder à leurs exigences.

En outre, les organisations concernées par des incidents de cybersécurité devront les déclarer. Le secteur privé n’est pas oublié, mais est simplement « encouragé » à faire de même. Pour le secteur public, la réponse à incident devra être coordonnée avec le département de la sûreté publique.

De telles dispositions constituent une première. Mais, selon la National Law Review, elles pourraient bien faire tache d’huile. Ainsi, le sénat de l’état de Pennsylvanie vient de voter une loi interdisant l’utilisation de fonds publics pour le versement de rançons à la suite de cyberattaques – « sauf si le gouverneur autorise le paiement ». L’état de New York préparerait quant à lui des dispositions interdisant de céder aux ransomwares, tant pour le secteur public que privé.