Appeler les flics pour des attaques de ransomware n’aide pas, disent les cyber pros

Près de la moitié (45%) des professionnels de la cybersécurité croient que le fait d’appeler les forces de l’ordre à la suite d’une attaque de ransomware ralentit le processus de récupération et distrait les rames informatiques et de sécurité de la victime de remettre les choses en marche le plus rapidement possible – et cela peut être un facteur important dans la raison pour laquelle tant d’incidents de ransomware ne sont pas signalés.

C’est ce que dit une nouvelle étude sur la réponse aux ransomwares menée par Talion, une spin-out de BAE Systems qui souhaite redéfinir la relation entre les entreprises et les fournisseurs de services de sécurité, en soutien à la campagne #Ransomaware récemment lancée, dont elle est membre fondatrice.

Talion a commandé One Poll pour étudier les attitudes de 200 professionnels de la sécurité informatique, et a constaté que les victimes de ransomware omettent également de signaler les attaques soit parce qu’ils ne savent pas comment, ou parce qu’ils ont choisi de payer la rançon et ne veulent pas avoir des ennuis pour le faire – même si cela n’est pas lui-même toujours illégal.

« Notre étude souligne que de nombreuses organisations sont préoccupées par le fait de signaler les attaques de ransomware aux forces de l’ordre de peur que cela n’ait d’autres répercussions négatives », a déclaré Mike Brown, PDG de Talion.

« Toutes les victimes veulent revenir au statu quo le plus rapidement possible, mais il peut s’agir d’un paysage compliqué à naviguer. Devriez-vous payer la rançon? Dans l’affirmative, est-ce légal? Les organisations doivent garder à l’esprit qu’il est illégal d’effectuer un paiement à une organisation terroriste ou à des groupes visés en violation des sanctions internationales.

« Ce qu’il faut, c’est un cadre juridique clair qui permette aux organisations de prendre les meilleures décisions légales lorsqu’elles se trouvent dans cette situation de stress élevé. Les forces de l’ordre doivent trouver un moyen de travailler avec les organisations commerciales afin qu’elles soient considérées comme une source d’expertise et de soutien, et non comme un obstacle supplémentaire à surmonter.

Talion a également constaté que 70% des professionnels de la sécurité pensent que permettre aux fournisseurs spécialisés d’assurance contre les cyberincidents de payer aux victimes de ransomware exacerbe le problème et alimente davantage d’attaques – ce qui suit de près les données précédentes sur cette question.

La cyberassurance est devenue un sujet de débat intense en ce qui concerne la crise des ransomwares, de nombreux membres de la communauté de la sécurité prenant position selon laquelle les paiements d’assurance devraient être purement et simplement interdits.

Brown a déclaré: « En termes de paiement d’assurance, il n’est pas surprenant que de nombreux professionnels de la sécurité les considèrent comme alimentant l’industrie des ransomwares, car ils amortissent certainement le coup des attaques. Cependant, les paiements ne sont pas garantis et les assureurs deviennent de plus en plus stricts chaque jour.

« La meilleure option est donc de se préparer aux attaques et de répéter votre stratégie afin que lorsque votre organisation est touchée dans la vie réelle, les pertes soient réduites au minimum. »

La coalition #Ransomaware – qui comprend, outre Talion, l’Institut de recherche pour la cybersécurité sociotechnique, BAE Systems, 36 Commercial, Insight Enterprises, KnowBe4, la UK Cyber Security Association, Comparitech, Siemplify, Eskenzi PR, IT Security Guru, Outpost 24, Cydea, Devo Technology, Mishcon de Reya et Decipher Cyber – vise à promouvoir la collaboration et l’information ouverte et le partage de renseignements autour des ransomwares, dans l’espoir que l’incitation à un dialogue honnête et franc sur le sujet aidera à accroître la sensibilisation et la préparation, et à monter une défense plus efficace.

Écrivant dans Computer Weekly, Martin Smith, président et fondateur du Security Awareness Special Interest Group, a déclaré que le débat sur la réponse aux ransomwares était plus nuancé que beaucoup dans la communauté ne voulaient l’admettre. Il a appelé à un dialogue plus ouvert et a déclaré qu’il y avait une nette tendance dans certains cas à s’engager dans des blâmes ouvertement envers les victimes, ce qui est rarement approprié.

« La plupart du temps, les entreprises font de leur mieux pour surveiller et se protéger contre la menace en évolution rapide », a déclaré M. Smith.

« Il y a des choses que nous pouvons tous faire pour lutter contre la montée en puissance des rançongiciels : le partage des connaissances, par exemple, est fondamental pour l’élaboration de stratégies proactives et préventives. Des discussions collaboratives entre les professionnels de l’industrie et les canaux ouverts avec des services de sécurité surveillant la menace peuvent également être un moyen utile pour toutes les entreprises de rester engagées et préparées.