Les attaques par rançongiciel sont une forme de cybermenace de plus en plus courante. Durant la pandémie de COVID-19, elles se sont multipliées du fait que les télétravailleurs ont davantage recours aux courriels pour exercer leurs fonctions et sont donc plus susceptibles d’être victimes de tentatives d’hameçonnage. Une attaque de rançongiciel se déroule typiquement comme suit : le cyberattaquant chiffre les principaux fichiers et systèmes de l’organisation cible dans le but de paralyser les activités de cette dernière; il exige ensuite une rançon en échange des clés de déchiffrement qui permettront à l’organisation de déverrouiller ses systèmes touchés. Au cours des dernières années, un nombre croissant d’attaques par rançongiciel ont comporté une exfiltration de données, c’est-à-dire le vol de données sensibles de l’organisation cible par le cyberattaquant; ce dernier menaçant ensuite la cible de publier ces données en ligne si la rançon ne lui est pas payée.
La première question que se pose une organisation confrontée à une attaque par rançongiciel est invariablement la suivante : doit-on payer la rançon? Pour vous aider à prendre une décision éclairée et pragmatique, voici nos cinq principaux conseils.
1. Faites appel aux bons experts en la matière. Il est important d’obtenir rapidement des conseils d’experts sur la façon d’aborder et de traiter une attaque par rançongiciel. Il est judicieux d’obtenir des conseils juridiques dès le début de toute intervention en cas de cyberincident. Dans des situations nécessitant une intervention rapide, il est habituellement prudent de faire appel à des conseillers juridiques externes ayant une expertise dans le traitement des attaques par rançongiciel. Une organisation pourrait également vouloir retenir les services d’experts en cybercriminalistique pour contenir l’incident, déterminer quels fichiers ou systèmes ont été atteints, chercher des preuves d’exfiltration de données et s’occuper des communications avec le cyberattaquant. Si l’organisation a souscrit une cyberassurance, cette dernière pourrait couvrir non seulement les honoraires des conseillers juridiques et des experts en cybercriminalistique, mais aussi le paiement d’une rançon. Cependant, il est essentiel d’aviser l’assureur du cyberincident dans les plus brefs délais.
2. Évaluez vos systèmes de sauvegarde. Un robuste système de sauvegarde constitue souvent la première ligne de défense contre une attaque par rançongiciel. Lorsqu’un cyberattaquant a chiffré des fichiers ou des systèmes essentiels aux activités de l’organisation, celle-ci doit évaluer si elle est en mesure de les restaurer à partir de ses copies de sauvegarde. L’organisation doit également déterminer à quel point les copies de sauvegarde sont récentes et combien de temps la restauration pourrait prendre. Souvent, quand l’organisation n’a pas de copies de sauvegarde, elle peut devoir envisager d’effectuer un paiement de rançon pour rétablir ses opérations si les actifs touchés sont essentiels à ses activités et si elle n’est pas en mesure de recréer ces actifs dans un délai raisonnable. En revanche, une organisation capable de restaurer ses actifs compromis à partir de copies de sauvegarde pourrait être en mesure d’éviter de devoir payer une rançon, limitant de surcroît l’interruption de ses activités.
3. Évaluez les risques d’exfiltration et de publication de données. Les attaques par rançongiciel comportent de plus en plus des menaces de publication de données exfiltrées (p. ex., de renseignements personnels d’employés ou de clients, ou de renseignements commerciaux exclusifs) si la rançon n’est pas payée. Dans un tel cas, le coût du paiement de la rançon doit être pondéré par rapport aux risques que pose la publication des données en question, soit les risques financiers et juridiques, ainsi que les risques d’atteinte à la réputation. Des conseillers juridiques peuvent notamment informer l’organisation ciblée quant au risque que des litiges soient intentés contre elle par des tiers dont les renseignements pourraient être exposés. En outre, avant que l’organisation ne fasse tout paiement de rançon, des experts en cybercriminalistique peuvent souvent obtenir pour elle une « preuve de vie », c’est-à-dire une preuve confirmant que les cyberattaquants ont effectivement exfiltré les données qu’ils prétendent avoir en leur possession.
4. Bon nombre de rançons peuvent faire l’objet de négociations. Les cyberattaquants fixent souvent de courts délais de paiement pour forcer l’organisation cible à payer rapidement la rançon demandée sans pouvoir mener une enquête et une évaluation approfondies. En réalité, il est souvent possible de négocier le délai de la rançon, le montant du paiement, ou les deux. Un expert en cybercriminalistique a généralement des compétences étendues en matière de communications et de négociations avec des cyberattaquants, lesquelles se font habituellement par le biais du dark web (pour en savoir davantage à ce sujet, consultez notre Bulletin Blakes intitulé Le dark web : une introduction). Des experts juridiques et en cybercriminalistique savent également si un cyberattaquant particulier garde habituellement sa parole en fournissant les clés de déchiffrement ou en supprimant les données exfiltrées, une fois le paiement de la rançon effectué.
5. La vérification des sanctions applicables est cruciale. Le paiement d’une rançon n’est pas illégal, mais certaines organisations peuvent refuser de payer des cybercriminels « par principe ». Dans bien des cas, le paiement de la rançon est effectué par un cabinet spécialisé en cybercriminalistique. Or, il est essentiel que des vérifications appropriées soient effectuées par des autorités compétentes telles que le CANAFE ou l’Office of Foreign Assets Control des États-Unis pour s’assurer que le paiement ne contrevient pas à la législation internationale sur les sanctions. Si le portefeuille de cryptomonnaie du cybertattaquant est lié à un particulier ou à une entité qui est visé par une sanction, il peut être illégal d’effectuer le paiement.
Pour en savoir davantage, communiquez avec un membre de notre groupe Cybersécurité.
Les communications de Blakes et de Classes affaires de Blakes sont publiées à titre informatif uniquement et ne constituent pas un avis juridique ni une opinion sur un quelconque sujet. Nous serons heureux de vous fournir d’autres renseignements ou des conseils sur des situations particulières si vous le souhaitez.
Pour obtenir l'autorisation de reproduire les articles, veuillez communiquer avec le service Marketing et relations avec les clients de Blakes par courriel à l'adresse [email protected].
© 2024 Blake, Cassels & Graydon S.E.N.C.R.L./s.r.l.