Ransomwares : faut-il interdire le paiement des rançons ?

Du point de vue de l’État régalien, la position officielle, évidente, compréhensible, logique, est qu’il ne faut bien entendu jamais payer les rançons. Le discours est d’ailleurs cohérent avec celui qui consiste à déclarer que l’on ne négocie pas avec des terroristes, des preneurs d’otages, etc. Au demeurant, le discours relève surtout d’une posture, tant il est de notoriété publique que la presque totalité des libérations d’otages français à l’étranger se sont conclues par un gros chèque, et que tous les gouvernements sans exception ont négocié « à valises de billets » avec des organisations séparatistes insulaires violentes – pas de noms. La bonne nouvelle, c’est que, en ce qui concerne l’État, dogmatisme et pragmatisme ne sont pas exclusifs l’un de l’autre.

Du point de vue du consultant Gérôme Billois, la durée de la crise cyber interne à l’entreprise est un élément essentiel : elle s’étend sur environ trois semaines, que les données soient récupérées ou pas. Il est donc illusoire de croire que payer arrête dans l’heure la situation de crise. De plus, même si la totalité des données est récupérée, le SI ne va pas pour autant redémarrer sur-le-champ : des jours, voire des semaines, seront parfois nécessaires pour tout relancer. Autre élément, et pas des moindres : les données n’ont pas forcément été chiffrées « proprement », de sorte que l’intégralité des données pourra rarement être déchiffrée : même si la clé de déchiffrement est récupérée, l’entreprise doit s’attendre à une perte d’environ 20 %. Et, bien évidemment, payer ne garantit aucunement de récupérer ses données.

Du point de vue du juriste, faisant le parallèle avec l’activité de piraterie maritime ou de prise d’otages dans des régions sensibles, M^e Coupez souligne que le côté « assurable » de ce type de « sinistre » existant dans le monde « physique » de la prise d’otages est revu par les grands pays (notamment le Royaume-Uni en 2015), qui commencent à interdire et le paiement des rançons, et donc les polices d’assurance qui y sont attachées. À noter cependant que ce genre d’interdiction est difficile à mettre en œuvre car très facile à contourner auprès d’officines spécialisées qui vont facturer des prestations de conseil bidon et faire payer les rançons par une de leurs filiales située dans un pays à la législation plus souple – c’est exactement le procédé utilisé par les grandes multinationales qui sous-traitent le paiement de bakchichs pour remporter de gros contrats dans des pays à corruption endémique.

Du point de vue du chef d’entreprise, le raisonnement est beaucoup plus simple et pragmatique. Il se résume à un bête calcul économique : combien coûte à l’entreprise la perte de ses données ? Combien coûte de payer pour les récupérer (en intégrant dans le calcul la probabilité de décaisser sans résultat) ?

Du point de vue de l’assureur, le risque cyber n’est qu’un risque parmi d’autres, un business pour lequel la seule logique est la capacité à calculer le risque. Un assureur couvrira un risque quantifiable et refusera de couvrir ce qui ne peut pas être chiffré. Avec, comme d’habitude, une batterie de clauses en police Times New Roman corps 5 pour limiter les sommes à débourser en cas de sinistre. À ce jour, vu le niveau de compétences des assureurs concernant le risque cyber et surtout l’explosion des demandes de rançon (en termes de montant et de fréquence), la plupart des experts prédisent néanmoins un désengagement massif de la profession (pour y avoir été confronté, les assureurs avec qui j’ai pu échanger ne font pas la différence entre un parc de PC et un SI de CHU).

Du point de vue du RSSI enfin, qui souvent se bat avec trois bouts de ficelle pour sécuriser un SI tentaculaire plus troué qu’un gruyère, paradoxalement, la question importe peu : dans le public comme dans le privé, la plupart d’entre eux sont confrontés à un désintérêt total de leur hiérarchie qui pense que les ransomwares ne s’en prennent qu’aux autres. Peut-être faut-il aller dans le mur pour que l’entreprise comprenne que ce risque n’est pas de la même nature que des œufs mayonnaise périmés à la cantine.

Curieusement, en fin d’interview, Gérôme Billois et M^e François Coupez affichent un optimisme volontariste face au risque cyber, arguant de l’arsenal juridique qui s’étoffe, des opérations de police coordonnées qui donnent des résultats et des négociations en cours entre Biden et Poutine. On ne vit manifestement pas dans le même monde, à moins de croire qu’on lutte contre des organisations mafieuses à implantation planétaire en brandissant un Code pénal comme un inquisiteur du xvii^e siècle brandissait la Bible en arrivant dans un village reculé. La plupart des organisations de cyberpirates qui sont démantelées, parfois après des années d’enquêtes coûteuses et coordonnées par les services de différents pays, se reconstituent en à peine quelques semaines ou quelques mois, et encore quand elles ne sont pas abritées par des États voyous notoires. On est face à ce que le général André Beaufre[2] qualifie de situation déséquilibrée : le défenseur doit sécuriser des points de vulnérabilité multiples avec des moyens coûteux, quand l’attaquant peut n’en cibler qu’un seul à peu de frais, situation qui bascule systématiquement à l’avantage du second.

Alors que les débats se focalisent sur la judiciarisation du paiement des rançons, le vrai sujet est de niveau régalien : tout comme l’État a éradiqué les bandits de grand chemin qui sévissaient sur les routes au Moyen Âge, il doit désormais garantir la sécurité des « routes numériques », quitte à revoir l’architecture des réseaux, quitte à isoler certaines fonctions sensibles, quitte à réaliser un filtrage technique national des communications, quitte à exiger formation et certification des acteurs habilités à accéder au réseau, au même titre que seul un pilote qualifié peut faire décoller un Airbus.

[1] https://www.youtube.com/watch?v=Bqy3jOi3Yms&list=WL&index=10 

[2] Introduction à la stratégie, Fayard, coll. Pluriel, 2012 (réédition).