Ransomwares : non, il ne faut toujours pas payer la rançon

Gouvernance Risques et Conformité
Ransomwares : non, il ne faut toujours pas payer la rançon

Rappel du fonctionnement d’un ransomware

Lorsque votre entreprise est victime d’un ransomware (ou rançongiciel pour ne pas froisser l’Académie Française), vos systèmes d’information peuvent être bloqués car ce type de virus a pour objectif de chiffrer vos fichiers. Il vous faut alors disposer de la clé de déchiffrement, le sésame pour débloquer votre informatique. Les attaquants derrière ce type de malware vous monnaient ce sésame contre le paiement d’une rançon.

Une activité très lucrative

L’explosion du nombre d’attaques le démontre : malgré les préconisations de l’ANSSI, de très nombreuses organisations victimes décident encore de payer la rançon, dans l’espoir d’un déblocage rapide de la situation. Cette décision est souvent prise sous la pression de l’attaque, pour tenter de réduire la durée du temps d’indisponibilité des systèmes touchés et ainsi le coût global de l’attaque. Le ransomware est donc une activité très rentable pour les groupes d’attaquants. Ils utilisent ainsi les sommes gagnées pour rendre leurs attaques plus efficaces encore, voler des données permettant de cibler la prochaine victime, embaucher d’autres pirates pour développer leurs activités malveillantes.

Pourquoi ne faut-il pas payer ?

Cette tendance ne doit pas vous leurrer. Payer la rançon n’est pas la bonne solution, même si votre assurance Cyber promet de vous couvrir… ou si comme Garmin, votre rançon de dix millions est déductible de vos impôts ! Voici quatre bonnes raisons pour finir de vous en convaincre.

 

#1 : Les voleurs sont rarement honnêtes

C’est peut-être une évidence mais il est bon de le rappeler : rien ne vous garantit que vous recevrez la clé de déchiffrement une fois la rançon payée ! La profession de cyberattaquants n’obéit pas encore à un code de l’honneur… Les cybercriminels restent des criminels.

 

#2 : Le paiement n’est pas sécurisé

Payer oui, mais comment le faire ? Par carte bancaire pour se faire voler des données de paiement ? En achetant des bitcoins ou une autre cryptomonnaie sans comprendre ce qu’on fait ? En s’aventurant sur le dark web au risque d’une autre infection de malware ? L’attaquant ne doit pas s’exposer lors du paiement. Le procédé ne sera pas aussi simple qu’un site e-commerce. Et rien n’oblige l’attaquant à vous délivrer une facture ou un justificatif de paiement…

 

#3 : La clé de déchiffrement n’est pas un remède miracle

Dans certains cas, il est impossible de restaurer vos systèmes informatiques avec uniquement la clé de déchiffrement. Les fichiers peuvent avoir été corrompus. Lors de l’attaque ou de la réaction, d’autres composants peuvent avoir été endommagés. De plus, la clé vous permet de déchiffrer. Elle ne soigne pas le mal « profond » qui aura permis à l’attaquant de vous toucher… et de revenir dans le futur !

 

#4 : Le paiement finance le crime organisé

Ne l’oubliez pas : les attaquants ne sont pas qu’une bande de petits génies de l’informatique ! Ce sont désormais des bandes organisées, organisées, gérées comme des mafias et dotés de moyens très puissants. Chaque euro ou chaque bitcoin payé les rends plus forts – vous exposant, vous ou votre écosystème, à une nouvelle attaque encore plus sophistiquée.

 

La prévention et la protection, plus que jamais

Il ne faut pas baisser les bras pour autant. Des mesures de sécurité existent pour endiguer le fléau des ransomwares. Comme souvent en sécurité, tout comme par les basiques. Dans le cas présent, il faut mettre en place une solution de sauvegarde, et la tester régulièrement ! Pas uniquement en cas d’incident…

La mise en place de solution de détection et de réaction vous permettra de gagner en visibilité et de pouvoir agir si une telle attaque est détectée. Une solution de type EDR est tout à fait adaptée, et donnera tout son potentiel si elle est pilotée par un expert ou intégrée dans un SOC. Ces dispositifs de protection doivent être complétés par une démarche de sensibilisation, étape clé pour la prévention de ces attaques et le renforcement des bons réflexes Cyber de vos équipes, mais aussi par la souscription au service d’un CSIRT pour être aidé en cas d’attaque ! Il faut se préparer au pire pour être prêt à faire face à tout type d’incident.

Benjamin Leroux, Innovation & Marketing, Advens