Cet article fait partie de notre guide: Cyberattaque : comment faire face ?

Ransomware : bien en parler ne nécessite pas d’en faire des tonnes

Bien loin de la mise en scène d’un Norsk Hydro, et sans entrer autant dans le détail que l’université de Bochum ou celle de Maastricht, le Français Namebay a reconnu une attaque de rançongiciel. Sobrement et efficacement.

La communication de crise est un exercice difficile, et il n’est pas question de le nier. Et les « gadins » ne sont pas rares, tout particulièrement en cas de cyberattaque conduite à grand renfort de ransomwares. Il y a ceux qui essaient de jouer la carte du silence plus ou moins complet, à l’instar d’Elior, mais aussi de Record, Sparflex, ou encore Esii. Dans certaines négociations, la motivation de la victime à payer est d’ailleurs claire : il s’agit de s’assurer que l’incident ne sera pas ébruité, et rien d’autre.

Las, avec la pratique de la double extorsion, cette approche ne tient que jusqu’à ce que les cybertruands décident de divulguer les données dérobées à l’occasion de l’attaque. À moins de payer, de toute évidence – et encore, payer n’est en rien une garantie totale de discrétion.

Mais ce n’est pas la seule motivation : certaines victimes ayant décidé de tenir tête à leurs assaillants craignent tout simplement que communiquer ouvertement ne puisse être interprété comme une provocation… qui leur attirerait les foudres des cyberdélinquants, et les exposerait à la menace d’une nouvelle attaque. Et c’est bien compréhensible : si le travail de nettoyage/reconstruction n’a pas été fait de manière rigoureuse, des portes dérobées peuvent subsister dans le système d’information, et être utilisées pour des attaques ultérieures.

La tentation de raconter une belle histoire

Et puis il y a ceux qui en font beaucoup, combinant leurs compétences en communication et en marketing, tant internes qu’externes, pour construire une belle histoire autour de l’incident, et surtout bien la raconter. Cela a fonctionné pour l’industriel norvégien Norsk Hydro, qui a longtemps été vu par beaucoup comme un modèle de communication de crise en cas de cyberattaque.

D’autres la jouent plus modeste, à la limite du mea culpa, mais avec force détails et transparence, à l’instar de l’université de Maastricht. Son témoignage a eu bien moins d’écho que celui de Norsk Hydro, mais il n’en a peut-être que plus de valeur. L’université de la Ruhr à Bochum s’est également illustrée par une communication soutenue et bien plus transparente que beaucoup.

Mais où est le juste équilibre ? Le Français Namebay pourrait bien l’avoir trouvé. Le 21 septembre 2024, il faisait état d’un « incident de cybersécurité ». Deux jours plus tard, il indiquait sans ambages être « victime d’une cyberattaque avec ransomware » et énumérait ses services affectés. 

Si l’entreprise ne mentionnait alors pas de nom de ransomware ou d’enseigne mafieuse, il reconnaissait toutefois qu’un vol de données préalable au chiffrement était à craindre : « dans le cadre des investigations menées par les équipes, des recherches sont également poussées afin de nous éclairer au mieux sur d’éventuelles traces d’exfiltration de données ». Pas question, de minimiser plus ou moins ouvertement ce risque.

S’inscrivant résolument à contre-courant de beaucoup de victimes et de leur communication, Namebay a délaissé l’habituelle déclaration affirmant que la priorité est la sécurité des données des clients [qui en attendrait moins ?] au profit de : « notre priorité est de vous fournir des informations fiables et précises ». Et effectivement, dans ce contexte de crise, c’est bien ce qu’attendent les clients. 

L’Écossais Flagship Group avait précédemment montré la voie. Le 4 novembre 2020, il avait publié un communiqué révélant avoir été victime d’une attaque informatique, un « incident IT majeur » survenu le dimanche précédent et ayant fait tomber « la majeure partie des systèmes ».

Dans la foulée, Flagship Group indiquait dès le second paragraphe de son communiqué qu’il s’agissait d’un ransomware, et plus précisément de Sodinokibi, du groupe REvil. Et de reconnaître, plus loin, que « des données personnelles de clients et de collaborateurs ont été compromises ». 

Des réponses à des questions clés

Là, le doute est levé sur l’essentiel. Lorsqu’une organisation annonce avoir été victime d’une cyberattaque, ces temps-ci, la première chose qui vient à l’esprit, c’est : « OK, c’est un rançongiciel, et ils ne le disent pas histoire de pouvoir se ménager l’option paiement sans que tout le monde leur tombe dessus ».

Lorsqu’une organisation reconnaît avoir été victime d’un ransomware, on passe à la suite : « OK, mais lequel ? Celui d’un groupe qui pratique la double extorsion ? ». Lorsque le communiqué précise que l’enquête est en cours et qu’il n’est pas possible de répondre à cette question à ce stade, la réaction, c’est généralement : « OK, ils pratiquent la double extorsion. L’organisation essaie de savoir ce qui a été volé comme données – éventuellement avant de décider de payer ou pas ».

Dans le cas de Namebay et de Flagship Group, la communication ne laisse que peu place pour l’ambiguïté sur ces différents points, et c’est rafraîchissant. Cela ne signifie pas qu’il ne reste pas des questions en suspens, notamment sur le volume et la nature des données dérobées par les assaillants et, dès lors, sur le risque qu’elles font peser sur les individus concernés. Mais là encore, cette question n’est pas éludée : les victimes reconnaissent tout simplement ne pas avoir une vision complète de cet aspect de la situation.  

Il n’y a plus qu’à espérer que ces exemples soient suivis et participent de l’élaboration graduelle d’une éventuelle forme de norme pour la communication sur ce genre d’incidents.

Tribune publiée initialement le 9 novembre 2020, mise à jour le 24 septembre 2024.

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)

Close