Le média des entreprises qui construisent la société de demain

Ransomware : pourquoi il ne faut pas exclure de payer la rançon

Payer la rançon ? Une option de dernier recours
© Atstock Productions via iStock

Le paiement de la rançon doit rester la dernière solution des entreprises victimes d'une cyberattaque. Mais il serait présomptueux de l'écarter par principe.

Faut-il payer la rançon si l’on est victime de ransomware ? Pour de nombreuses entreprises, la question ne se pose tout simplement pas. Payer la rançon : c’est non. En cas de cyberattaque, les pirates doivent être invités à passer leur chemin. Et pourtant, est-ce vraiment la seule solution ?

Se garder un maximum d’options disponibles

« Certaines entreprises se coupent inutilement des options », regrette ainsi Laurent Besset, directeur du pôle Cyberdéfense d’I-Tracing. Or « ce qui est un problème, ce n’est pas de faire des choix risqués ou au contraire conservateurs mais d’être obligé de les faire parce que l’on n’a pas l’autonomie suffisante pour décider. » Payer la rançon doit donc faire partie des options sur la table… au même titre que ne pas la payer !

Définir une position cohérente avec ses valeurs

L’entreprise attaquée doit être consciente des raisons qui la poussent vers une option ou une autre. « Il y a plein de bonnes raisons de ne pas payer une rançon, comme le fait de ne pas vouloir financer des activités criminelles », souligne Laurent Besset. À l’entreprise de trouver le bon alignement entre son discours et ses actes. « Mais refuser de considérer le paiement comme une option parce qu’on craint de ne pas obtenir la clé de déchiffrement ou parce que certaines autorités font pression pour cela ne sont pas de bonnes raisons », tranche l’expert. Précisément parce que c’est un choix dicté par des personnes extérieures à l’entreprise – les pirates dans le premier cas, les autorités dans le second.

Rester pragmatique…

Et pour cause, « les plus importants groupes d’attaquants ne sont pas bêtes : ils ont compris que pour maximiser la probabilité qu’une entreprise paie, ils doivent se plier à certaines règles, notamment celle de fournir une clé de déchiffrement », rappelle Laurent Besset. Organisées comme de véritables entreprises, les organisations criminelles aussi soignent leur relation client… Et les groupes les plus importants, constitués comme des PME, se montrent sur ce point plutôt fiables. Or « les entreprises ont aujourd’hui les moyens de reconnaître ces groupes derrière les attaques », précise l’expert d’I-Tracing, ce qui leur permet d’avoir les cartes en main pour prendre une décision éclairée.

Payer la rançon peut donc être une solution pour des entreprises qui n’en auraient pas d’autre. « Si l’entreprise ne dispose d’aucune sauvegarde et que la relance de son activité ou sa survie dépendent de cela, ce serait hypocrite de ne pas envisager de payer la rançon », concède de son côté le responsable cybersécurité d’une TPE, qui préfère garder l’anonymat.

… et stratégique

Pas question donc de refuser en bloc le dialogue avec les pirates. D’autant que discuter ne signifie pas nécessairement acquiescer. « Je suis contre le paiement de rançons. Il ne faut pas s’interdire de prendre contact avec les rançonneurs, ne serait-ce que pour gagner du temps, vérifier s’ils ont véritablement chiffré les données comme ils le prétendent et lesquelles », estime Laurent Sarralangue, directeur des opérations du cabinet Semkel, rôdé aux négociations ardues. Parfois, cela débouchera sur le paiement de la rançon – revue à la baisse – mais cela peut aussi laisser suffisamment de temps à l’entreprise victime pour s’organiser autrement. Par exemple en obtenant les clés de déchiffrement que certaines institutions parviennent à « voler » aux pirates en infiltrant les groupes criminels.

Penser à l’avenir

Alors, payer ou ne pas payer ? Les experts s’accordent sur une chose : si certaines entreprises considèrent cette option, elles doivent le faire en dernier recours après avoir épuisé toutes les autres. « Payer la rançon est une réaction dans un grand moment d’émotion qu’est une cyberattaque. Or les émotions dictent rarement des comportements rationnels, rappelle Laurent Sarralangue. Mieux vaut prendre du recul. »

D’autant que cela ne règle pas le problème de cybersécurité de l’entreprise. « Le paiement permet de résoudre une situation ponctuelle mais ce n’est pas parce qu’une entreprise a payé que sa sécurité sera meilleure. Cela ne lui garantit aucune sécurité future. » Voire l’inverse. En payant la rançon, l’entreprise envoie le signal aux pirates qu’elle est disposée à sortir le chéquier. Et ils en profitent : une étude de l’entreprise américaine Cybereason a montré que 80% des entreprises ayant déjà payé une rançon ont subi au moins une nouvelle attaque.

Rejoignez la discussion !

Votre adresse e-mail ne sera pas publiée.