Outre-Rhin, une pétition appelle à décourager le paiement des rançons

Ils n’étaient qu’une trentaine ce lundi 27 juin, mais sont déjà plus d’une cinquantaine à l’heure où sont écrites ces lignes. Dans une pétition, ils appellent à adopter des mesures visant à décourager les victimes de cyberattaques avec rançongiciel de céder à l’extorsion.

Certains noms sont bien connus dans le monde de la sécurité informatique, à l’instar de Daniel Gruss, de l’université technique de Graz en Autriche, réputé pour les travaux de ses équipes sur les vulnérabilités matérielles des processeurs.

Les signataires soulignent l’impact économique des cyberattaques avec ransomware en Allemagne, mais aussi plus généralement en Europe, au cours des dernières années. Et de rappeler que malgré les recommandations officielles, des victimes cèdent au chantage et paient les rançons. Leur nombre varie selon les estimations et les études. Mais plusieurs indications suggèrent toutefois qu’au moins un quart des victimes de gangs pratiquant la double extorsion cèdent.   

Forts de ce constat, les signataires de la pétition appellent à l’adoption de mesures fédérales en outre-Rhin – s’appliquant donc indistinctement à l’échelle de l’Allemagne – qui découragent le paiement des rançons.

Dans cette logique, ils demandent que les rançons versées ne soient pas fiscalement déductibles des bénéfices des résultats des entreprises touchées. En outre, « à partir d’une certaine taille » d’organisation, ils souhaitent que soient rendues obligatoires les déclarations des attaques et des éventuels paiements de rançon.

Pour les signataires, les assurances ne devraient pas indemniser le paiement des rançons, mais se concentrer sur l’indemnisation des pertes d’exploitation et des mesures de remédiation.

Mais certaines entreprises peuvent être véritablement prises à la gorge par les attaquants. Dès lors, les signataires appellent au soutien matériel, « par exemple via un fonds d’aide », des entreprises ainsi mises en difficulté, « afin qu’elles ne soient pas contraintes de payer de rançon ». Mais ce soutien devrait être conditionné de sorte que « les victimes ne négligent pas leur obligation de s’assurer elles-mêmes ».

Enfin, les signataires appellent de leurs vœux des mesures afin que les entreprises puissent améliorer leur posture générale de sécurité, sans que cela compromette leur rentabilité.

La région Allemagne-Autriche-Suisse est loin d’être ménagée par les acteurs du ransomware. Nous avons compté plus de 220 victimes dans la région en 2021 et déjà 134 au 31 mai 2022.

Le débat sur le paiement des rançons est également bien présent en France. À l’automne dernier, le rapport de la députée Valéria Faure-Muntian suggérait « l’interdiction pour les assureurs de garantir, couvrir ou d’indemniser la rançon ». Et de suggérer plus loin de « sanctionner les entreprises, administrations ou collectivités qui procèdent au paiement des rançons à l’aide d’un tiers ou de manière directe ».

Mi-mars, le projet de loi d’orientation et de programmation du ministère de l’Intérieur pour la période 2022-2027 prenait plutôt la direction d’une obligation de déclaration des paiements de rançon. De fait, ces paiements s’avèrent largement traçables et jouent un rôle clé dans les enquêtes judiciaires.