Getty Images
Ransomware : le Royaume-Uni réfléchit à l'extension de l'interdiction du paiement de rançon
L’interdiction du paiement de rançon par les administrations centrales britanniques pourrait être étendue à des organisations telles que les administrations locales, les écoles et le secteur public de la santé.
Le ministère de l’Intérieur britannique vient de lancer aujourd’hui une consultation sur une série de propositions visant à lutter contre la menace que représentent les rançongiciels pour la société britannique, et espère élargir le champ d’application de l’interdiction de paiement de rançons à des secteurs essentiels au fonctionnement de la vie quotidienne, y compris le secteur public de la santé.
Une telle interdiction est déjà en vigueur pour les administrations centrales du Royaume-Uni, mais le nouveau plan proposé interdirait à tous les organismes du secteur public, des collectivités territoriales (loin d’être épargnées, y compris en France) aux écoles et aux services de santé, ainsi qu’aux opérateurs d’infrastructures nationales critiques (l’équivalent des opérateurs d’importance vitale dans l’Hexagone – OIV – tels que les fournisseurs de services publics), d’effectuer des paiements à des cybercriminels extorqueurs.
Qualifiant cette proposition de « précurseur mondial », le gouvernement britannique a déclaré que l’interruption des flux de paiements « frapperait au cœur » du modèle économique des cybercriminels et protégerait les organisations dont les citoyens dépendent, au Royaume-Uni, contribuant ainsi à la réalisation de son Plan pour le changement, de plus grande envergure. Tout en suggérant, en creux, que les victimes visées par les propositions ne manquent pas de céder, de temps à autre, au chantage.
« La lutte contre la cybercriminalité est au cœur de la mission du gouvernement, qui est de réduire la criminalité, de favoriser la croissance et d’assurer la sécurité des Britanniques », a assuré le ministre britannique de la Sécurité nationale, Dan Jarvis. « Avec un montant estimé à 1 milliard de dollars en 2023, il est vital que nous agissions pour protéger la sécurité nationale, fondement essentiel sur lequel repose le Plan pour le changement de ce gouvernement », a-t-il ajouté.
Selon lui, « ces propositions nous aident à faire face à l’ampleur de la menace que représentent les rançongiciels, en frappant ces réseaux criminels au portefeuille et en coupant la principale filière financière dont ils dépendent pour opérer ».
Richard Horne, directeur général du National Cyber Security Centre (NCSC) – fortement impliqué dans de nombreuses opérations de lutte contre la cybercriminalité au cours de ces dernières années, dont Cronos en 2024, contre LockBit –, estime pour sa part que « cette consultation marque une étape essentielle dans nos efforts pour protéger le Royaume-Uni des effets paralysants des attaques par ransomware et des coûts économiques et sociétaux qui y sont associés ».
« Les organisations de toutes tailles doivent renforcer leurs défenses contre les cyberattaques telles que les ransomwares, et notre site web contient une multitude de conseils adaptés aux différentes organisations. En outre, l’utilisation de cadres éprouvés (tels que Cyber Essentials) et de services gratuits (tels que Early Warning du NCSC) contribuera à renforcer leur position globale en matière de sécurité », a-t-il ajouté.
Pour Richard Horne, « les organisations de tout le pays doivent renforcer leur capacité à poursuivre leurs activités face aux perturbations causées par les attaques réussies de ransomware. Il ne s’agit pas seulement d’avoir des sauvegardes en place : les organisations doivent s’assurer qu’elles ont des plans testés pour continuer leurs opérations en cas d’absence prolongée de l’informatique si une attaque réussit, et qu’elles ont un plan testé pour reconstruire leurs systèmes à partir des sauvegardes ».
Outre la question de l’interdiction ciblée du paiement des rançons, la consultation, qui se déroulera jusqu’au 8 avril 2025, a également pour objectif de recueillir des avis sur une proposition visant à mettre en place un régime plus large de prévention des paiements. Ce régime offrirait, aux victimes de rançongiciel ne tombant pas sous le coup de l’interdiction, des conseils et des orientations sur la manière de réagir aux attaques et les obligerait à notifier les autorités si elles ont l’intention de payer une rançon. De quoi rappeler le conditionnement, en France, de l’assurabilité d’une rançon payée au dépôt de plainte.
Le gouvernement britannique souhaite également se donner le pouvoir d’évaluer les paiements potentiels et de les bloquer dans certaines circonstances, par exemple s’ils sont effectués au profit d’une entité soupçonnée d’être sanctionnée ou d’un gang connu.
Parallèlement, le ministère de l’Intérieur souhaite également recueillir des avis sur la mise en œuvre du régime de signalement obligatoire des ransomwares proposé précédemment, qui constitue un élément clé du projet de loi sur la cybersécurité et la résilience et qui devrait être présenté au Parlement britannique dans un avenir proche.
Selon lui, ces nouvelles propositions contribueraient à faire sortir les ransomwares de l’ombre et permettraient à des organismes tels que la National Crime Agency (NCA) et le NCSC de maximiser leurs capacités d’analyse et de collecte de renseignements, afin de mieux établir l’ampleur réelle de la menace des ransomwares, de cibler leurs enquêtes et leurs actions, et de prendre de l’avance sur les opérations de ransomwares émergentes.
La consultation portera notamment sur la question de savoir si ces propositions doivent s’appliquer universellement ou s’il convient de fixer un seuil.
Le directeur adjoint Paul Foster, chef de l’unité nationale de lutte contre la cybercriminalité de la NCA, se félicite « de cette consultation, qui donnera aux entreprises l’occasion de s’exprimer officiellement sur ce sujet important. Le ransomware est la menace cybercriminelle la plus importante à laquelle sont confrontés le Royaume-Uni et le monde, avec des attaques qui coûtent des millions en matière de pertes et de récupération ».
Pour lui, il est « essentiel que les victimes signalent les incidents le plus tôt possible, afin qu’elles puissent bénéficier d’un soutien urgent, de conseils et d’une expertise au moment où elles en ont le plus besoin. Plus les victimes signalent d’incidents, plus nous sommes en mesure de faire face à la menace. Nous sommes impatients de participer à ce processus et de soutenir les efforts visant à améliorer la cybersécurité au Royaume-Uni ».
Accueil mitigé
Jamie MacColl, expert en rançongiciel et chargé de recherche en cybernétique au sein du groupe de réflexion Royal United Services Institute (RUSI), a fait part de ses sentiments mitigés quant à certaines des suggestions du gouvernement.
« La proposition de rendre obligatoire le signalement des incidents liés aux ransomwares est judicieuse et améliorera la capacité des forces de l’ordre à perturber les criminels. En mettant en lumière les organisations qui paient, elle pourrait également inciter certaines victimes à réfléchir à deux fois avant de payer une rançon », estime-t-il ainsi.
Toutefois, il doute « fort que l’interdiction des paiements de rançons pour des secteurs spécifiques les empêche d’être perturbés. Les auteurs de rançongiciels sont opportunistes – ils ne ciblent pas de secteurs spécifiques et il est donc peu probable qu’ils soient suffisamment perspicaces pour éviter les [opérateurs d’importance vitale] britanniques ».
Il se dit également « sceptique » quant à la proposition que le gouvernement autorise au cas par cas des paiements de rançon : « les victimes exigeront du gouvernement et des forces de l’ordre un dynamisme inhabituel pour répondre aux demandes de paiement. Si le gouvernement refuse les demandes de paiement, la question se pose également de savoir s’il interviendra pour soutenir financièrement les victimes qui ne peuvent pas se permettre un temps d’arrêt opérationnel ».
Toutefois, il estime que si les propositions étaient adoptées, elles représenteraient l’intervention la plus importante sur la question des rançongiciels de la part d’un gouvernement national à ce jour. Pour lui, « l’ambition du gouvernement devrait être célébrée étant donné l’approche d’autruche du Royaume-Uni face aux ransomwares et à la cybercriminalité au cours de la dernière décennie ».
