Les paiements par rançongiciel constituent un problème. C'est une question importante, et nous devons en parler. Dans certains cas, il s'agit d'un « secret secret » qui permet souvent aux organisations de passer sous silence de gros problèmes, tels que les cyberattaques, sans les divulguer, les signaler ou y remédier correctement. Il faut que quelque chose change, mais quoi ? Et comment ?
Au début de l'année, le gouvernement britannique a envisagé une interdiction sur tous les organismes publics britanniques effectuant des paiements par rançongiciel. Les entreprises privées, en revanche, devront légalement signaler leur intention d'effectuer un paiement par rançongiciel avant de payer et ces paiements pourraient être bloqués s'ils sont effectués à des groupes sanctionnés ou à des États étrangers. Quoi qu'il en soit, le signalement sera obligatoire si la loi proposée est adoptée, ce qui ne peut être qu'une bonne chose.
Les paiements par rançongiciel constituent un problème séculaire que les gouvernements du monde entier ont essayé de résoudre à leur manière. Avec cette proposition de loi, le gouvernement britannique fait de son mieux pour fixer des normes et faire du secteur public (y compris les infrastructures nationales critiques) des cibles inintéressantes. Les gangs de rançongiciels fonctionnent souvent comme une entreprise et les entreprises visent à gagner de l'argent. Le fait de ne pas pouvoir gagner de l'argent grâce à de tels exploits rend ces cibles moins intéressantes.
Cependant, certains criminels peuvent mettre un certain temps à obtenir la note de service, ce qui peut être compliqué. Ce faisant, il est probable que certaines organisations du secteur public soient touchées. Il est donc primordial que le gouvernement fournisse une réponse aux incidents afin de réduire les dommages. Ces renseignements doivent être partagés afin que d'autres puissent en tirer des leçons.
Bien entendu, l'approche consistant à ne pas payer de rançons a toujours été la meilleure pratique. Ce que fait le gouvernement, c'est intégrer cette pratique exemplaire dans la loi. Les rançongiciels ont toujours été un casse-tête pour les responsables de la sécurité et les chefs d'entreprise. Dans certaines organisations, le paiement d'un rançongiciel représente une carte « Sortez de prison sans prison ». Il n'est pas rare qu'une organisation mette de côté un fonds de fonctionnement pour d'éventuelles rançons et la cybercriminalité. Cependant, rien ne garantit que le paiement d'une rançon vous permettra de récupérer vos données. Après tout, il s'agit de criminels qui ne sont pas nécessairement connus pour leur décorum et leur honnêteté.
D'autre part, le fait de « passer sous silence » les paiements (c'est-à-dire la non-divulgation) ne garantit pas l'efficacité des mesures correctives et, en fin de compte, les autres ne peuvent en tirer aucune leçon. Il y a un manque de transparence sur le sujet, et la honte plane toujours sur les rançongiciels dans leur ensemble. Nous devons mieux comprendre les règles proposées, mais une plus grande transparence est toujours la bienvenue.
Les responsables de la sécurité se retrouvent souvent dans une situation difficile, comme je l'ai dit dans le dernier Hacker Headspace. Les équipes manquent de ressources et sont surchargées de travail, mais les litiges risquent de se proférer en cas d'échec. Parfois, les meilleurs efforts déployés par les meilleures équipes de sécurité ne suffisent pas si les ressources nécessaires ne sont pas disponibles. L'investissement dans la sécurité est essentiel, mais les entreprises doivent trouver un équilibre entre des mesures de cybersécurité proactives et réactives.
Idéalement, les stratégies de réduction des risques (mesures proactives) constituent le meilleur investissement, mais il peut être plus difficile d'obtenir l'adhésion du conseil d'administration. Alors que la réponse aux incidents après un événement constitue un investissement très rentable (éteindre les incendies), le risque qu'un tel événement se produise aurait pu être réduit par des mesures proactives (comme la cartographie de la surface d'attaque et l'analyse des vulnérabilités). Il a toujours été difficile de quantifier le risque et de comprendre comment l'investissement est lié à la réduction des risques, notamment en le transmettant d'une manière compréhensible au conseil d'administration. Après tout, la cybersécurité, c'est comme vente d'une assurance contre les tornades dans un endroit qui n'a pas connu de tornade depuis 200 ans.
Des rapports standardisés devraient permettre aux conseils d'administration de mieux comprendre les risques, d'autant plus qu'il est difficile de faire preuve de cohérence en l'état. Il n'existe pas suffisamment de moyens de communiquer et de condenser les risques, mais il existe divers moyens de s'en protéger. Le pécule d'une organisation (son fonds « au cas où ») pourrait être mieux dépensé pour le sécuriser de manière proactive, s'il est bien investi. Des normes telles que le système de notation EPSS, que nous sommes fiers de soutenir, constituent un pas dans la bonne direction pour un reporting des risques standardisé en temps réel et basé sur la pertinence.
Les litiges, comme celui proposé par le gouvernement, peuvent parfois obliger les conseils d'administration à agir, en particulier si la non-conformité peut avoir des conséquences juridiques ou monétaires. Parfois, les bons types de pressions aident la haute direction à comprendre. En fin de compte, l'acceptation des risques doit se faire au niveau du PDG et du COO, au moment où ils prennent les décisions.
Bien qu'elle ne soit pas encore parfaite, la proposition d'interdiction des paiements par rançongiciels dans le secteur public par le gouvernement britannique constitue un grand pas dans la bonne direction et j'ai hâte de voir ce qui se passera ensuite.