Rawpixel.com - Fotolia

Ransomware : bien en parler ne nécessite pas d’en faire des tonnes

Bien loin de la mise en scène d’un Norsk Hydro, et sans entrer autant dans le détail que l’université de Bochum ou celle de Maastricht, l’Écossais Flagship Group a reconnu une attaque de rançongiciel. Sobrement et efficacement.

La communication de crise est un exercice difficile, et il n’est pas question de le nier. Et les « gadins » ne sont pas rares, tout particulièrement en cas de cyberattaque conduite à grand renfort de ransomwares. Il y a ceux qui essaient de jouer la carte du silence complet, à l’instar d’Elior, mais aussi de Record, Sparflex, ou encore Esii. Dans certaines négociations, la motivation de la victime à payer est d’ailleurs claire : il s’agit de s’assurer que l’incident ne sera pas ébruité, et rien d’autre.

Las, avec la pratique de la double extorsion, cette approche ne tient que jusqu’à ce que les cybertruands décident de divulguer les données dérobées à l’occasion de l’attaque. À moins de payer, de toute évidence – et encore, payer n’est en rien une garantie totale de discrétion.

Mais ce n’est pas la seule motivation : certaines victimes ayant décidé de tenir tête à leurs assaillants craignent tout simplement que communiquer ouvertement ne puisse être interprété comme une provocation… qui leur attirerait les foudres des cyberdélinquants, et les exposerait à la menace d’une nouvelle attaque. Et c’est bien compréhensible : si le travail de nettoyage/reconstruction n’a pas été fait de manière rigoureuse, des portes dérobées peuvent subsister dans le système d’information, et être utilisées pour des attaques ultérieures.

La tentation de raconter une belle histoire

Et puis il y a ceux qui en font beaucoup, combinant leurs compétences en communication et en marketing, tant internes qu’externes, pour construire une belle histoire autour de l’incident, et surtout bien la raconter. Cela a fonctionné pour l’industriel norvégien Norsk Hydro, qui a longtemps été vu par beaucoup comme un modèle de communication de crise en cas de cyberattaque.

D’autres la jouent plus modeste, à la limite du mea culpa, mais avec force détails et transparence, à l’instar de l’université de Maastricht. Son témoignage a eu bien moins d’écho que celui de Norsk Hydro, mais il n’en a peut-être que plus de valeur. L’université de la Ruhr à Bochum s’est également illustrée par une communication soutenue et bien plus transparente que beaucoup.

Mais où est le juste équilibre ? L’écossais Flagship Group pourrait bien l’avoir trouvé. Le 4 novembre, il a publié un communiqué révélant avoir été victime d’une attaque informatique, un « incident IT majeur » survenu le dimanche précédent et ayant fait tomber « la majeure partie des systèmes ».

Et ça ne s’arrête pas là. Dans la foulée, Flagship Group indique dès le second paragraphe de son communiqué qu’il s’agit d’un ransomware, et plus précisément de Sodinokibi, du groupe Revil. Plus loin, le groupe reconnaît que « des données personnelles de clients et de collaborateurs ont été compromises ». Et d’expliquer avoir informé les autorités compétentes.

Sans surprise, David McQuade, directeur général du groupe, indique que « nous prenons la confidentialité et la sécurité des données de nos clients et de nos collaborateurs très au sérieux, et nous sommes vraiment désolés qu’elles aient été compromises ». Dans le cadre d’un autre communiqué de presse annonçant un incident de sécurité informatique, une telle affirmation serait immanquablement moquée. Mais là, dans le contexte d’un tel effort de transparence, elle ne le mériterait pas, loin s’en faut.

Des réponses à des questions clés

Car le doute est levé sur l’essentiel. Lorsqu’une organisation annonce avoir été victime d’une cyberattaque, ces temps-ci, la première chose qui vient à l’esprit, c’est : « OK, c’est un rançongiciel, et ils ne le disent pas histoire de pouvoir se ménager l’option paiement sans que tout le monde leur tombe dessus ».

Lorsqu’une organisation reconnaît avoir été victime d’un ransomware, on passe à la suite : « OK, mais lequel ? Celui d’un groupe qui pratique la double extorsion ? » Lorsque le communiqué précise que l’enquête est en cours et qu’il n’est pas possible de répondre à cette question à ce stade, la réaction, c’est généralement : « OK, ils pratiquent la double extorsion. L’organisation essaie de savoir ce qui a été volé comme données avant de décider de payer ou pas ».

Dans le cas de Flagship Group, il n’y a plus de place pour l’ambiguïté sur ces différents points, et c’est rafraîchissant. Cela ne signifie pas qu’il ne reste pas des questions en suspens, notamment sur le volume et la nature des données dérobées par les assaillants et, dès lors, sur le risque qu’elles font peser sur les individus concernés. Mais là encore, cette question n’est pas éludée : le groupe reconnaît tout simplement ne pas avoir une vision complète de cet aspect de la situation.  

Il n’y a plus qu’à espérer que cet exemple soit suivi et participe de l’élaboration graduelle d’une éventuelle forme de norme pour la communication sur ce genre d’incidents.

Pour approfondir sur Gestion de la sécurité

Close