Institut des administrateurs de sociétés

27 mars 2023

Piratage : Cela vaut-il la peine de payer?

By Prasanthi Vasanthakumar, Institute of Corporate Directors

Ne laissons pas planer le suspense : Environ 50 % des organisations qui ont été piratées paient la rançon. Mais est-ce la bonne solution? Pour peser le pour, le contre, les coûts et les avantages de payer la rançon, la
Section régionale du Manitoba de l’IAS a organisé le webinaire « To Pay or Not To Pay » (Payer ou ne pas payer), avec Dr Michael Parent, professeur à la Beedie School of Business de l’Université Simon Fraser, directeur académique du Programme de perfectionnement des administrateurs IAS-Rot et directeur académique national du cours de l’IAS intitulé « Surveillance de la cybersécurité en cette ère d’accélération de la transformation numérique ».

Les attaques par rançongiciel, qui consistent à verrouiller, chiffrer ou voler les données d’une entreprise, ont augmenté de 500 % au cours des trois dernières années. En 2022, les attaques par rançongiciel ont touché les organisations toutes les 14 secondes, et la demande de rançon moyenne était de 925 000 $ US. En 2021, 85 % des entreprises canadiennes ont été piratées avec succès.

Les cyberattaques étant inévitables, la question est de savoir quand elles se produiront, et non si elles se produiront¹. Mais si la question est de savoir s’il faut payer ou ne pas payer, il n’y a pas de bonne réponse, selon M. Parent. « C’est l’une des questions existentielles fondamentales auxquelles les conseils d’administration doivent faire face ».

Les arguments en faveur du paiement
Pour de nombreuses entreprises, il existe un argument commercial convaincant en faveur du paiement de la rançon.

En moyenne, les pirates informatiques passent 164 jours dans les réseaux des entreprises avant de passer à l’action. Cela leur donne le temps d’infecter de nombreux systèmes (y compris les sauvegardes), d’identifier les éléments de grande valeur, de se renseigner sur l’entreprise (par exemple, ses polices d’assurance et ses plans d’intervention en cas d’incident) et de ne laisser aucune trace derrière eux².

« L’une des raisons pour lesquelles ils passent du temps dans votre réseau est qu’ils veulent déterminer exactement quelle est la valeur de vos données et combien il vous en coûtera pour les récupérer », explique M. Parent. « Les informations commerciales qu’ils recueillent leur permettent d’exiger une rançon qui vous est propre ».

Calculer le coût de récupération
M. Parent recommande de faire des calculs pour déterminer combien une attaque par rançongiciel coûtera à l’organisation. Les coûts de récupération dépendent de la taille de la base de données, du temps nécessaire pour restaurer les données, de l’audit des données pour en garantir l’intégrité et d’autres dépenses. Si ces coûts s’élèvent à 500 000 dollars, par exemple, le paiement d’une demande de rançon de 300 000 dollars sera logique pour l’entreprise, car il s’agit d’une solution moins coûteuse et plus rapide.

Circonstances particulières
Abstraction faite des coûts, des cas particuliers peuvent justifier le paiement d’une rançon. Selon l’expert en cybersécurité Matthew Baker, il s’agit notamment des organisations qui fournissent des services essentiels et qui n’ont pas le temps de rétablir leurs activités, des entreprises qui peuvent mieux comprendre les vulnérabilités des systèmes si les pirates sont disposés à partager ces informations dans le cadre de la négociation de la rançon, et des sociétés qui peuvent être lésées par la divulgation d’informations propriétaires sensibles³.

Elon Musk est-il à nouveau en difficulté?

Elon Musk fait peut-être partie de cette dernière catégorie à l’heure actuelle. La bande de pirates par rançongiciel LockBit affirme s’être introduite chez un fournisseur de SpaceX et avoir volé des plans. La bande menace de divulguer la conception des fusées SpaceX si Musk ne paie pas. « Elon Musk, nous vous aiderons à vendre vos dessins à d’autres fabricants; construisez le vaisseau plus rapidement et envolez-vous », a écrit LockBit sur le Web caché.

Différentes raisons peuvent influencer la décision d’une entreprise de céder aux menaces. « Il s’agit d’un crime honnête, car dans 75 à 85 % des cas, le paiement de la rançon permet d’obtenir une clé de déchiffrement valide [pour rétablir l’accès] », explique M. Parent⁴.

Les arguments en faveur de l’abstention
Même si ces bandits virtuels commettent un crime honnête, il n’y a pas d’honneur parmi les voleurs. Comme l’explique l’expert en sécurité David Lindner à Forbes le paiement d’une rançon ne garantit pas le rétablissement des données en toute sécurité. L’entreprise est également perçue comme une cible dont le système n’est pas sécurisé et qui est prête à payer⁵. Mais au-delà de la probabilité d’une attaque répétée, il y a des considérations juridiques et morales.

Considérations juridiques
La Gendarmerie royale du Canada (GRC) et le Federal Bureau of Investigation (FBI) s’opposent fermement au paiement de la rançon pour deux raisons principales. D’une part, elle incite à l’activité criminelle et, d’autre part, elle identifie le payeur comme étant disposé à payer.

Néanmoins, le paiement n’est illégal que si les pirates font partie d’une organisation terroriste connue ou figurent sur les listes de sanctions du Canada ou des États-Unis.

Un dilemme moral
Au-delà des aspects juridiques, le paiement de la rançon a des implications morales et éthiques. Les entreprises doivent décider si le fait de répondre aux demandes des criminels correspond à leurs valeurs, à leur culture et à leur code d’éthique. Elles doivent également réfléchir à la manière dont les parties prenantes, telles que les employés et les clients, peuvent réagir à leur décision de payer⁶.

L’approche d’Indigo
Indigo a ostensiblement choisi de prendre les devants lorsqu’elle a été piratée au début de l’année.

« Étant donné que nous ne pouvons pas être certains que le paiement d’une rançon ne se retrouverait pas entre les mains de terroristes ou d’autres personnes figurant sur les listes de sanctions, Indigo a décidé qu’il serait inapproprié de payer la rançon », a déclaré la société dans une déclaration au Financial Post.

Mais il n’est pas facile de faire ce qu’il faut. Les experts estiment que la chaîne de librairies a probablement perdu des millions de dollars, tandis que les données des employés, y compris les informations médicales et d’immigration, ont été potentiellement diffusées sur le Web caché.

Il ne fait aucun doute qu’une demande de rançon met une organisation dans une position difficile. Pour guider leur réflexion, les conseils d’administration peuvent utiliser le modèle en 5 questions de Graham Tucker pour se demander si une décision est rentable, légale, équitable, juste et durable ou respectueuse de l’environnement⁷.

Pratiques exemplaires pour les conseils d’administration
Pour anticiper toute cyberattaque imminente, M. Parent propose cinq recommandations aux conseils d’administration.

En parler
Les conseils d’administration doivent décider s’ils paieront un jour la rançon et dans quelles circonstances ils le feront.

Enregistrer le paiement sur papier
Si la rançon est payée et enregistrée électroniquement, on peut supposer que les futurs pirates la liront lorsqu’ils infiltreront les systèmes d’une organisation. « Consignez le paiement sur papier et conservez-le dans des dossiers rangés dans un classeur fermé à clé », conseille M. Parent.

Disposer d’un plan de lutte contre les cyberattaques
Dans le cadre de leur devoir de diligence, les conseils d’administration doivent s’assurer qu’un plan d’intervention en cas de cyberintrusion ou un cahier des charges est intégré dans les plans d’intervention en cas d’incident et de reprise après sinistre de l’entreprise. Le conseil d’administration doit approuver ces plans bien avant une attaque par rançongiciel.

Participer à des exercices de simulation
Les conseils d’administration devraient participer à un exercice de simulation de cyberattaque au moins une fois par an. Ces exercices permettent aux administrateurs de comprendre ce que l’on ressent lors d’une cyberattaque et les questions qui peuvent se poser.

« Il est important de comprendre les mécanismes [d’un cyber-événement] et la réaction physiologique qui en découle », explique M. Parent.

Gardez le doigt sur le pouls
Les conseils d’administration devraient surveiller la formation et la culture en matière de cybersécurité au sein de l’organisation, et examiner les résultats des tests concernant les courriels d’hameçonnage, par exemple. Lors de chaque réunion du conseil d’administration, les administrateurs devraient prendre connaissance d’un rapport sur la cyber-résilience qui répond aux questions concernant les failles, les menaces actuelles, les mesures prises et les ressources nécessaires.

Les cyberattaques se produisent pour deux raisons principales : l’action des employés qui cliquent sur des courriels d’hameçonnage et l’inaction des organisations qui ne sécurisent pas les vulnérabilités, par exemple en appliquant des correctifs aux logiciels ou en protégeant l’accès à distance.
Obtenir que moins de 10 % des employés cliquent sur des courriels d’hameçonnage est « un résultat spectaculaire », déclare M. Parent. Mais ce comportement dépend en partie de la culture organisationnelle, qui commence au sommet de la hiérarchie.

« Changer le comportement des gens et créer une culture de la sécurité et de la cyber-résilience commence par le conseil d’administration », poursuit M. Parent. « Quelle est la solidité de votre propre pratique? »

« L’espoir n’est pas une bonne stratégie »
Selon un rapport, les bénéfices tirés des attaques par rançongicielont chuté de 40 % en 2022 parce que les entreprises ont refusé de payer. Toutefois, tant qu’un nombre suffisant de victimes se soumettront aux volontés des pirates, les attaques par rançongiciel resteront monnaie courante. En effet, la cybercriminalité est une activité économique importante et l’on s’attend à ce qu’elle inflige 10,5 billions de dollars de dommages par an d’ici à 2025 à l’échelle mondiale.

« L’espoir n’est pas une bonne stratégie », selon M. Parent. La meilleure chose que les conseils d’administration puissent faire est de se préparer.

Sources
^1,4,7The Hawkamah Journal, 19. Ransomware: Should you pay? (2022)
^2,6 The Conversation Before Paying a Ransom, Hacked Companies Should Consider Their Ethics and Values (2022)
^3,5 Forbes. Why Experts Disagree On Whether Businesses Should Pay Ransomware Demands (2022)