rancon

Cybersécurité: il était une fois le rançonnage

On ne le dira jamais assez, mieux vaut prévenir que guérir. Dans le domaine de la cybersécurité, c’est d’autant plus vrai que lorsqu’une attaque surgit, les dommages peuvent être considérables… Voici une petite histoire pour finir de vous convaincre.

Tout commence en Californie, où l’Hollywood Presbyterian Medical Center, un hôpital, a été la cible d’une cyber-attaque. Les hackers réclamaient la coquette somme de 3,4 milliards de dollars pour rendre le contrôle du système informatique. Finalement l’établissement a cédé et a versé 17000 dollars en Bitcoins pour récupérer l’intégralité de son système. Soumis à ce chantage l’hôpital a payé la rançon avant de prévenir les autorités et est resté très discret quant à cette réduction assez conséquente, ainsi que par la nature de cette attaque. Selon certains il s’agirait d’un simple phishing (technique d’usurpation d’identité et récupération de données personnelles). D’après le directeur néanmoins, céder était la meilleure solution pour rétablir le fonctionnement normal du réseau.

Bien que les conséquences ne soient pas dramatiques, cette histoire est révélatrice de l’état d’esprit général sur la cybersécurité. Selon le dernier rapport de la Cloud Security Alliance, 24,6% des entreprises seraient prêtes à payer une rançon dans une situation similaire afin d’empêcher une cyber-attaque… 14% seraient même prête à débourser plus d’un million de dollars ! Des chiffres qui font tiquer Joël Mollo, directeur Europe du Sud de Skyhigh Network : « Il est choquant de constater que tant d’entreprises sont prêtes à payer, ne serait-ce qu’un seul centime d’une rançon, et accorderaient leur confiance aux pirates pour ne pas donner suite à une attaque. Il n’y a aucune garantie de réalisation et aucun moyen de revenir en arrière une fois que le paiement est effectué sachant que le pirate peut ne pas redonner l’accès aux données ou relancer une attaque par la suite. C’est de plus un bien mauvais signal à transmettre aux pirates. Du coup, ces derniers sont de plus en plus confiants sur le fait qu’ils auront gain de cause, qu’ils peuvent exécuter leurs cyberattaques et que la plupart des entreprises préfèreront payer que de se retrouver sans système informatique.  Des exemples de sociétés qui refusent de payer, telles que Meetup.com à l’étranger ou Domino’s Pizza en 2014 ou Labio en 2015 en France, sont rares et pourtant elles sont l’exemple à suivre.”

La logique est simple. Si une entreprise accepte de payer une fois, rien n’empêche les hackers de revenir à la charge pour reprendre en otage le système afin de soutirer une nouvelle rançon. Protéger son SI et sa cybersécurité permet de se soustraire de cette épée de Damoclès. Alors certes, la démarche peut paraître coûteuse et contraignante mais le jeu en vaut la chandelle. Malgré tout, certaines entreprises préfèrent prendre le risque, quitte à dégager leur responsabilité en cas de pépin. C’est le cas de l’entreprise Vtech par exemple. Le fabricant de jouets s’est fait pirater les données de 6 millions de clients en décembre et, comble du cynisme, a décidé de changer les termes et conditions qui accompagnent la vente de ses produits. La nouvelle clause stipule que l’entreprise ne peut être tenue pour responsable en cas de piratage des données confiées par ses clients… Une échappatoire qui fait réagir Norman Girard, vice-président et directeur général Europe de Varonis : « Imaginez si tous les questionnaires médicaux que vous remplissez chez votre médecin comportaient un avertissement tel que « Si quelqu’un vole les informations que vous fournissez, c’est votre problème » ou si un magasin affirmait « Libre à vous d’utiliser votre carte de crédit, mais nous ne sommes pas responsables si quelqu’un arrive a voler les informations de cette dernière sur notre système”. Un particulier ou un professionnel souhaiterait-il encore traiter avec ce genre d’organisations ? »

Découvrez notre offre eaZySecure pour lutter contre les failles et les vulnérabilités de votre SI.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Vous pouvez utiliser ces balises et attributs HTML : <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>