Ransomwares : faut-il céder et payer la rançon ?

Un avis d’expert de Phil Richards, CSO, LANDESK.

Que faire lorsqu’un logiciel malveillant, un ransomware en l’occurrence, a crypté et rendu inaccessibles des fichiers vitaux pour l’entreprise ? Lorsque cette situation se présente, un cauchemar pour les responsables de la sécurité informatique, le choix devient trop souvent binaire : payer une rançon ou perdre les données. Voici les trois principaux aspects à considérer pour prendre cette décision.

La première question à se poser est : ai-je réellement besoin de ces données ? Il faut d’abord établir un état des lieux pour savoir ce qui a été perdu et quel impact cette perte a sur l’organisation. Cette étape ne peut pas être menée par l’équipe informatique seule, mais en concertation avec les autres départements, car ils savent de quoi ils ont le plus besoin, combien de temps ils perdraient si certains fichiers étaient irrécupérables, etc.

L’existence de sauvegardes permet de mitiger l’impact de la perte des données, à condition que celles-ci soient assez récentes. La fréquence des sauvegardes dépend de la politique de chaque entreprise ; le temps nécessaire pour accéder à ces données aussi. S’il faut à l’entreprise plus de quelques jours pour récupérer les données, la perte de productivité des équipes pendant ce temps peut devenir supérieure à ce qui est demandé par le pirate pour permettre à l’entreprise de récupérer ses données.

Dans certains cas, l’entreprise a l’obligation de fournir un accès rapide aux données aux clients, fournisseurs, organismes publics, etc. Une telle obligation, le cas échéant, fera souvent pencher la balance vers le paiement de la rançon.

La deuxième question à se poser est relative au rapport entre le paiement de la rançon et la récupération des données. Ce problème contient deux aspects. Tout d’abord, quel est le degré de chiffrement des données cryptées ? Est-il possible de les décrypter assez rapidement sans payer de rançon ? Des solutions de recouvrement des données fiables existent et sont la meilleure option, quand elles sont disponibles pour le ransomware qui infecte le système informatique.

Ensuite, y a-t-il des garanties que payer permettra de récupérer la clé de chiffrement ? Il y a quelques mois, le Kansas Heart Hospital a été infecté par un ransomware, cédé et payé une rançon afin de récupérer des données, suite à quoi les pirates ont demandé davantage d’argent en échange de la clé de chiffrement – l’hôpital a refusé d’effectuer le second paiement. Il appartient à l’entreprise d’évaluer les chances de recouvrement de la clé de chiffrement avant de payer une rançon.

Enfin, il faut considérer les aspects connexes : la réputation de l’entreprise, le risque de récidive d’une telle attaque après avoir cédé une première fois, l’image d’une entreprise « faible » et incapable de sécuriser ses données auprès des clients. C’est pour ces raisons que le FBI recommande de ne jamais payer de rançon – bien qu’en pratique, l’entreprise n’a parfois pas d’autre choix.

En cas d’infection par un ransomware, il n’y a pas de solution parfaite, mais une moins mauvaise que l’autre. Le mieux est de se préparer en amont afin de ne pas avoir à prendre cette décision.

À propos de l’auteur :
Phil Richards est Chief Security Officer chez LANDESK.
Phil a une expertise à la fois profonde et large dans le domaine de la sécurité, ayant occupé des postes de sécurité senior au sein du secteur pendant plus de 20 ans. Auparavant, Phil a été Chef de la Sécurité Opérationnelle pour Valerian Medical Systems, CSO chez Fundtech Corporation et Directeur de la Sécurité des Entreprises pour Fidelity Investments. A travers ses rôles de leadership dans la sécurité, il a créé et mis en œuvre des politiques de sécurité en se fondant sur les normes de l’industrie. Phil a conduit les organisations vers le respect des certifications PCI DSS et SSAE SOC2 et a mis en place une formation de sensibilisation à la sécurité via des évaluations des risques GLBA. Phil a démontré sa capacité à transformer une organisation grâce à son accent sur les objectifs, une communication claire et une coordination constante avec la direction.

mardi 27 septembre 2016
Communiqué de presse
Share on FacebookShare on Google+Tweet about this on TwitterShare on LinkedIn

Les commentaires sont fermés.

Contactez-nous
8 avenue du Maine, 75015 Paris
Tél. : +33 1 53 63 27 27

Yucatan, créée il y a plus de 20 ans et dirigée par Evelyne Martin et Caroline Prince, est la première agence de relations médias spécialisée dans la valorisation de l’innovation dans les secteurs de la high-tech, du digital, de l’industrie, du bâtiment et des sciences. L’agence Yucatan participe au développement de la réputation de ses clients. Yucatan vous présente ici son Blog, que vous pouvez suivre en vous inscrivant à la newsletter.