Cyber attaques, faut-il payer la rançon aux pirates ?

Face à des attaques qui peuvent mener à un véritable chaos, qui touchent des entreprises, des collectivités locales, des administrations, des hôpitaux, et des états, une question revient souvent : faut-il payer la rançon ?

Partout où il y a du numérique, potentiellement il peut y avoir des attaques informatiques, ou des pannes informatiques, n’oublions pas ce dernier point de bon sens aussi.

Aujourd’hui ce numérique est partout. Il est dans notre vie personnelle et professionnelle et dans les systèmes industriels, qui potentiellement sont des cibles et évidement quand il y a la possibilité de faire pression sur des acteurs pour obtenir des rançons, l’objectif est très simple, il est criminel. Il y a des gens qui vont tenter de le faire, et parfois qui y arrivent.

D’après des études, nous sommes un pays très attaqué, et des entreprises françaises payent des rançons très facilement, même trop facilement par rapport à leurs homologues européens.

Il faut en premier lieu sans faire de jugement de valeur, se placer au niveau de la victime. Quand votre système d’information est à terre, quand vous n’avez plus rien, la pression pour payer est énorme.

Donc que certaines victimes payent, ou qu’elles se fassent aider pour payer des rançons, c’est compréhensible.

Par contre, lorsque l’on alimente le crime organisé, il ne faut pas s’étonner si après le nombre d’attaques continue à augmenter. Il y a un effet systémique.

Cet effet systémique fait que globalement il faut que l’on envoie un message très fort aujourd’hui pour dire non on ne paiera plus les rançons.

Il faut concentrer les capacités à aider ces victimes pour éviter qu’elles ne payent.

Et envoyer un message très fort aux attaquants pour leur montrer que tout ce qu’ils vont faire va être inutile.

Il y a aussi le débat complexe sur le fait que les entreprises payent les rançons, car dans leur contrat d’assurance c’est leur assurance qui paye ces rançons.

D’abord il y a des assureurs qui se sont lancés sur le sujet sans aucune éthique pour conquérir le marché, en disant on va tout payer. Ce ne sont pas des assureurs français qui ont lancé cela.

Mais comme d’autres l’ont fait les gros assureurs français ont été obligés de suivre.

Un gros assureur comme AXA le faisait et a annoncé en mai 2021 arrêter de le faire car il a bien vu que ce n’était pas la bonne méthode et la bonne piste.

C’est très responsable d’avoir annoncé cela.

Il ne faut pas donner l’impression de s’opposer aux assureurs qui sont nécessaires pour s’assurer d’une panne informatique, d’un incendie dans un data Center ou d’une inondation dans un data Center par exemple.

L’important est de réduire le risque au maximum. Et que le risque résiduel soit partagé et mutualisé. Donc sur ce dernier point concernant une panne, le rôle des assurances est essentiel.

Par contre un assureur qui serait là uniquement pour payer les rançons le jour où il y a un problème nous voyons bien que ce n’est pas la solution.

L’assureur doit être là pour dire au client « prévenez les choses, anticipez les attaques, durcissez la sécurité des systèmes », et puis dire nous vous aiderons le jour où il y aura un problème.

Le problème du paiement de la rançon n’est pas à regarder du point de vue de la victime. Quand il y a une victime avec un très gros problème, ce n’est pas là où il faut commencer à lui faire la morale. 

L’important c’est de prendre du recul.

De regarder de manière systémique globalement et se dire qu’est-ce que l’on veut in fine.

Tout simplement, ce que l’on veut c’est ne pas payer les rançons et ne pas avoir ses systèmes d’informations bloqués par des rançongiciels.

Donc annoncer que l’on ne va pas payer les rançons, avant d’être attaqué.

Par contre si l’on attend d’être victime d’une attaque pour l’annoncer, il est déjà trop tard.

Sylvain Bonnet Passemar

Le Club est l'espace de libre expression des abonnés de Mediapart. Ses contenus n'engagent pas la rédaction.

L’auteur·e a choisi de fermer cet article aux commentaires.