Dans son dernier rapport d’activité, l’Agence nationale de la sécurité des systèmes d’information (Anssi) s’alarme de la multiplication des attaques par rançongiciels, qui consistent à bloquer les données des entreprises. Le seul moyen de les récupérer ? Payer une rançon. 54 incidents de ce type ont été signalés à l’Anssi en 2019, contre 192 en 2020, soit 4 fois plus en une année.
Et selon l’assureur Hiscox, en 2020, au niveau mondial, 58% des entreprises concernées par une attaque par rançongiciels ont versé de l’argent aux attaquants – soit pour récupérer des données, soit pour empêcher la publication d’informations sensibles. « Ce sont souvent de petites et moyennes entreprises qui préfèrent payer plutôt que de dénoncer l’attaque et d’avoir à communiquer dessus. Elles cherchent à reprendre leur production au plus vite, ce qui est compréhensible, mais rien ne les prémunit contre une nouvelle action de ce genre », souligne Alexandre Lazarègue, avocat spécialisé en droit du numérique et de l’Internet.
Les assureurs pointés du doigt
Mais il n’est pas garanti que les attaquants soient toujours prêts à rendre en échange des rançons l’intégralité des fichiers chiffrés et dans un état exploitable. Alors pourquoi les entreprises cèdent-elles si facilement ? « En matière de cybersécurité, elles sont encore immatures et ne souhaitent pas mettre les moyens pour se prémunir de ces risques. On pense encore trop souvent que ça n’arrive qu’aux autres », relève Me Alexandre Lazarègue.
À ce sous-équipement s’ajoute une faible adhésion à des services de cyberassurance. « En 2020, seulement 362 des 140 000 PME réalisant entre 10 et 15 millions de chiffre d’affaires ont souscrit une telle assurance », selon un rapport d’information du Sénat. En revanche, 87% des grandes entreprises seraient assurées. Mais même dans ce cas-là, beaucoup sont incitées à payer les rançons, car cela apparaît moins coûteux pour les assureurs que de verser une indemnisation pour les dégâts causés par l’attaque. Une situation qui ne fait qu’encourager hackers à poursuivre leurs activités, d’après les sénateurs, qui plaident pour une interdiction du caractère assurable des rançongiciels au niveau européen.
Cependant, il semble peu probable que les entreprises qui consentent à verser une rançon soient sanctionnées : « Il me paraît impossible d’engager la responsabilité d’un entrepreneur dans cette situation, car il agit sous la contrainte. Ce serait comme vouloir interdire à un bijoutier de donner sa caisse lors d’un braquage », justifie l’avocat. Il convient tout de même d’adopter les bons réflexes face à une cyberattaque, parce que « si vous ne prévenez pas vos salariés, vos fournisseurs, vos clients etc., vous mettez en danger l’ensemble de l’écosystème. Les conséquences peuvent être graves, à l’image de l’usurpation d’identité bancaire. L’entreprise victime voit alors sa responsabilité pénale engagée. » Mieux vaut donc prévenir que guérir en investissant dans les bons outils de protection et en formant l’ensemble des collaborateurs aux questions de cybersécurité.