Les entreprises devraient-elles payer pour se remettre en ligne?

cybercriminels

Une attaque dévastatrice de ransomware contre un pipeline de carburant critique aux États-Unis a mis en évidence la menace croissante que les cybercriminels représentent pour les plus grandes entreprises et infrastructures stratégiques du monde.

Cela soulève également une question épineuse : les entreprises tenues de rançonner doivent-elles céder aux extorqueurs ou résister aux paiements ? Souvent, il s’agit de choisir entre retrouver l’accès aux systèmes informatiques moyennant des frais pour que les opérations puissent être rétablies, ou courir le risque d’une perturbation continue qui pourrait avoir des répercussions énormes pour les employés, les actionnaires, les clients, l’économie et même la sécurité nationale.

Dans le cas de Colonial Pipeline, qui n’a pas encore complètement rétabli ses activités, les enjeux sont nombreux. Le gazoduc fournit près de la moitié du diesel et de l’essence consommés sur la côte Est, et il fournit du carburéacteur aux principaux aéroports, dont beaucoup détiennent des approvisionnements limités sur place. Un nombre croissant de stations-service sont sans carburant alors que les conducteurs anxieux se précipitent pour remplir leurs réservoirs et American Airlines a été forcée d’ajouter des arrêts de carburant sur quelques itinéraires plus longs.

Mais payer les attaquants risque d’encourager encore plus d’attaques de ransomwares en démontrant à quel point le modèle commercial peut être lucratif. Le FBI a confirmé lundi que les pirates du pipeline sont un groupe criminel originaire de Russie nommé DarkSide.

L’un des moyens de décourager la cybercriminalité et les attaques de ransomwares consiste à «en faire une entreprise moins rentable», selon Josephine Wolff, professeur adjoint de politique de cybersécurité à la Fletcher School de l’Université Tufts. “Ces groupes ne continueront pas à [lancer des attaques] si ce n’est pas un modèle commercial viable”, a-t-elle ajouté.

DarkSide a déjà publié un avis sur le dark web selon lequel leur motivation était “uniquement de gagner de l’argent”, selon Binary Defence, une société de cyber-contre-espionnage. Le groupe propose “un ransomware en tant que service”, a déclaré Wolff.

«Ils vendent essentiellement des attaques de ransomwares aux clients», a-t-elle expliqué. “C’est un signal assez fort que c’est une entreprise rentable.”

Une industrie florissante

Le monde a reçu de nombreux avertissements. Il y a quatre ans, une vague sans précédent d’attaques de ransomwares a frappé des entreprises et des organisations du monde entier. Au Royaume-Uni, certains hôpitaux ont été contraints d’annuler les rendez-vous ambulatoires et de dire aux gens de ne pas se rendre aux urgences.

Et il faudra bien plus qu’une poignée d’entreprises refusant les paiements d’extorsion pour dissuader les cybercriminels. “Ils trouveront une autre victime, une autre façon de gagner de l’argent”, a déclaré Peter Yapp, ancien directeur adjoint du Centre national de cybersécurité britannique et désormais associé chez Schillings.

«Ce qui arrêtera cela, ce sont des niveaux beaucoup plus élevés de [cyber] sécurité», a-t-il déclaré. “Au lieu d’investir de l’argent pour payer les gens après l’événement, nous devrions investir de l’argent avant l’événement et nous assurer de fermer les écoutilles”, a-t-il ajouté.

Les pertes liées à la cybercriminalité ont augmenté ces dernières années. Un rapport de l’année dernière du Center for Strategic and International Studies et de la société de sécurité logicielle McAfee a estimé le coût mondial de la cybercriminalité à près de 1000 milliards de dollars entre 2018 et 2020. “La cybercriminalité semble imparable. Le risque de cybercriminalité pour les opérations et les profits continue de croître pour de nombreuses organisations”, a-t-il ajouté.

Les réservoirs de carburant
Les réservoirs de carburant à Colonial Pipeline à Baltimore,

C’est devenu une opportunité croissante pour les compagnies d’assurance, avec des primes mondiales de cyberassurance qui devraient passer d’environ 2,5 milliards de dollars aujourd’hui à 7,5 milliards de dollars d’ici la fin de la décennie, selon PwC.

Les polices d’assurance cybernétique couvrent généralement les paiements de rançon lorsqu’ils sont légalement autorisés et si aucune entité sanctionnée, telle que des organisations terroristes, n’est impliquée. Mais il y a des signes que cela pourrait changer. AXA (AXAHF) a récemment cessé de proposer le remboursement de rançon dans le cadre des nouvelles polices de cyber-assurance en France en réponse aux inquiétudes soulevées par les responsables français de la cybersécurité.

Dans un communiqué, l’assureur a déclaré qu’il “attend la décision des pouvoirs publics”. “Le sujet du remboursement des rançons est devenu un enjeu majeur de la cyber-assurance… Il est essentiel que les pouvoirs publics concrétisent leur position sur ce sujet afin de permettre à tous les acteurs du marché d’harmoniser leurs pratiques”, a ajouté la société.

S’exprimant lors d’une conférence sur la cybercriminalité en Allemagne lundi, Thomas Sepp, directeur des réclamations chez Allianz (ALIZF) Global Corporate & Specialty, a déclaré que l’assureur conseillait à ses assurés de travailler avec les autorités à un stade précoce et d’éviter de payer des rançons si possible. Afin de ne pas créer de nouvelles incitations pour le modèle commercial des groupes de hackers. “Bien sûr, cela a ses limites lorsque la vie et la santé des gens sont en danger”, a-t-il ajouté.

Comment les gouvernements peuvent aider

Alors que les gouvernements des États-Unis et du Royaume-Uni fournissent des conseils et des orientations aux entreprises sur la façon de gérer les cyberattaques, il n’y a pas de politique officielle en matière de paiements de ransomwares. Par exemple, la directive permanente du FBI est que les victimes ne devraient pas payer de rançon en réponse à une attaque afin de dissuader les auteurs de cibler davantage de victimes. Mais plusieurs sources ont déjà déclaré que le FBI dirait parfois en privé aux cibles qu’elles comprennent si elles ressentent le besoin de payer.Interrogés lundi sur le fait que Colonial avait payé une rançon, les hauts responsables de la Maison Blanche se sont opposés.

“C’est une décision du secteur privé, et l’administration n’a pas offert d’autres conseils pour le moment. Compte tenu de la montée des ransomwares, c’est un domaine que nous examinons actuellement pour dire quelle devrait être l’approche du gouvernement à l’égard des acteurs des ransomwares et des rançons. dans l’ensemble », a déclaré Anne Neuberger, haut fonctionnaire responsable de la cybersécurité au Conseil national de sécurité.

Selon Wolff of Tufts, les gouvernements doivent fournir plus de clarté aux entreprises sur le type de ressources et d’assistance dont elles disposent si elles ne paient pas de rançon.

Dans les cas extrêmes, les entreprises pourraient faire faillite si elles ne paient pas de rançon et l’impact plus large sur l’économie pourrait être énorme. C’est pourquoi il ne suffit pas que les forces de l’ordre disent simplement : “ne payez pas… vous alimentez une industrie”, a ajouté Yapp.

Bien qu’il n’appartienne pas aux gouvernements de s’occuper des entités commerciales, la vague croissante d’attaques de ransomwares suggère qu’il est peut-être temps pour les forces de l’ordre d’intensifier leurs efforts pour s’attaquer aux cybercriminels, a déclaré Yapp.

Cybercriminels

“Sur le plan commercial, cela pèse énormément sur les entreprises du monde entier”, a-t-il ajouté. La menace “d’être découvert et poursuivi” pourrait en elle-même avoir un effet dissuasif puissant, a-t-il déclaré.

Au fur et à mesure que les réseaux d’infrastructure nationaux critiques deviennent de plus en plus connectés à d’autres appareils et systèmes sur Internet, le danger posé par ces attaques ne fera qu’augmenter.

“Les attaques ciblant la technologie opérationnelle, les systèmes de contrôle industriels sur la ligne de production ou l’usine, sont de plus en plus fréquentes”, a déclaré Algirde Pipikaite, responsable de la cyber-stratégie au Centre pour la cybersécurité du Forum économique mondial.

«À moins que des mesures de cybersécurité ne soient intégrées dans la phase de développement d’une technologie, nous sommes susceptibles de voir des attaques plus fréquentes sur des systèmes industriels tels que des oléoducs et des gazoducs ou des usines de traitement d’eau», a-t-elle ajouté.

Leave a Reply

Your email address will not be published.