Ransomware : qui paie et pourquoi ?

Bercy est sur la même ligne que la place Beauvau : pour aider au développement de la cyberassurance – tout en garantissant que les enquêtes puissent être conduites, et que les chances de saisir au moins partiellement les rançons payées, voire, encore mieux, d’interpeller des cybercriminels – il faut un cadre dans lequel les paiements de rançons soient systématiquement déclarés aux autorités.

Depuis cette annonce, les débats sont animés, passionnés, notamment du côté de ceux qui déplorent le message envoyé aux cybercriminels, lequel renforcerait, pour ces derniers, l’attractivité de la France. Et c’est sans compter avec ceux qui craignent un découragement des efforts d’amélioration de la posture de sécurité.

Dans ce débat, ceux qui ont payé des rançons apparaissent très largement silencieux, trop peut-être. Car les rançons payées plaidant en faveur de la cyberassurance, voire de l’indemnisation des rançons versées, ne manquent pas. LeMagIT en a suivi plusieurs.

Mais qui sont les victimes de ransomware ? Des entreprises de toutes tailles, selon les statistiques de l’AMRAE. En juin dernier, l’Association pour le management des risques et des assurances de l’entreprise faisait état de 57 sinistres indemnisés dans les grandes entreprises en 2021, contre 110 chez les ETI, 26 chez les moyennes entreprises, et 318 dans les petites entreprises.

Mais lesquelles sont les plus susceptibles de céder au chantage ? Celles parmi les plus petites, et celles dont la survie est immédiatement en jeu, imagine-t-on aisément. Et parmi les plus grosses, celles qui craignent pour leur réputation… et pour leurs pertes d’exploitation.

En janvier 2019, quelques fins connaisseurs de la cyberassurance avaient accepté d’évoquer le sujet avec nous, sans faux-semblant. Mais anonymement, toutefois. Leurs regards convergeaient sur un point : « Qu’il y ait des pressions pour payer ; c’est possible, car les garanties sont trop limitées par rapport au risque réel ».

Et d’illustrer : pour une entreprise qui fait 10 mds € de chiffre d’affaires, une garantie de perte d’exploitation de 20 millions d’euros est consommée en même pas une journée. Dès lors, l’assureur va couvrir la perte d’exploitation ou le paiement de la rançon, en espérant que ça se passe bien et permette de relancer rapidement l’entreprise.

Pour l’assureur, donc, « ça ne change pas grand-chose, sachant que, de toute façon, les 20 millions d’euros seront versés ». Mais pour l’entreprise concernée et ses résultats financiers, la différence peut être considérable.

Reste que le paiement ne sera pas nécessairement déclaré, et encore moins reconnu : « oui, on peut le faire passer dans les frais d’investigation et de reconstruction, en faisant appel à un tiers. Mais il y a aussi des garanties de frais supplémentaires non désignés ». Et là, « on peut faire passer tout ce que l’on veut », assurait alors l’un de nos interlocuteurs.

Moins d’un cinquième (18 %) des participants (plus de 280) à la dernière édition du sondage OpinionWay, auprès des membres du Club des experts de la sécurité de l’information et du numérique (Cesin), publiée en janvier 2022, a indiqué avoir été confronté, en 2021, à un chiffrement de données par ransomware.

Mais ils ont été moins que cela (5 % des participants) à avoir été l’objet d’une tentative de double extorsion, à savoir chiffrement précédé d’un vol de données et menace de divulgation ou vente de celles-ci. Cela ferait tout de même 14 membres du Cesin concernés. Ces cas-là restent parmi les plus visibles du fait des revendications des cybercriminels.

Sur les plus de 260 victimes françaises de ransomware que nous avons identifiées en 2021, 8 sont membres du Cesin. De quoi suggérer que 6, au moins, ont cédé au chantage, sans que cela soit découvert publiquement. Au moins, parce qu’il ne faut pas exclure que certaines – victimes uniquement de chiffrement de données – l’aient également fait.

On peut toutefois légitimement imaginer que les membres du Cesin sont loin d’être parmi les moins bien lotis face à la menace. Le fait que certains d’entre eux puissent être victimes de ransomware ne souligne qu’une chose : personne n’échappe pleinement à ce risque.

Pour sa part, l’Amrae vient, dans un communiqué de presse, de saluer l’annonce de Bercy si polémique dans la communauté de la cybersécurité, évoquant un « point d’étape majeur pour la résilience cyber du tissu économique » et appelant « à l’enchaînement rapide des mesures énoncées ».