Les entreprises s’abstiennent souvent de révéler qu’elles ont payé des rançons à des groupes cybercriminels après une attaque, craignant qu’un tel aveu n’entraîne des risques juridiques et de réputation.
Les entreprises qui choisissent de payer une rançon le font souvent pour maintenir ou restaurer leurs opérations commerciales et pour empêcher les pirates informatiques de publier des données volées ou de les rendre inaccessibles. Même lorsque les entreprises paient, les pirates ne tiennent pas toujours leur promesse de ne pas publier les données volées, affirment les experts en cybercriminalité.
Opérateur de casino
par exemple, n’a pas déclaré publiquement avoir payé des pirates informatiques après une cyberattaque survenue à la fin de l’été. Le Wall Street Journal a rapporté la semaine dernière que Caesars avait payé environ la moitié de la rançon de 30 millions de dollars que les pirates exigeaient. Contrairement à son rival
qui a été piraté le 10 septembre, Caesars semble avoir évité des pannes technologiques majeures. Caesars et MGM n’ont pas immédiatement répondu aux demandes de commentaires.
Dans un dossier déposé le 14 septembre auprès de la Securities and Exchange Commission, Caesars n’a pas fait référence au paiement d’une rançon, déclarant : « Nous avons pris des mesures pour garantir que les données volées soient supprimées par l’acteur non autorisé, bien que nous ne puissions pas garantir ce résultat. »
Ce problème reflète les défis auxquels sont confrontés les régulateurs fédéraux pour imposer plus de transparence sur la manière dont les entreprises gèrent les cyberattaques. Les entreprises ne souhaitent souvent pas divulguer plus d’informations que ce qui leur est demandé, en partie parce qu’elles craignent des poursuites judiciaires et un retour en arrière de leur réputation.
La seconde approuvé de nouvelles règles en juillet obliger les sociétés cotées en bourse à déclarer, à partir de décembre, la nature, la portée et le calendrier des cyberattaques importantes dans les dépôts 8-K et autres formulaires réglementaires. Certaines entreprises signalent déjà les cyberattaques par cette méthode, comme Clorox, qui a déposé 8-K concernant un hack qui a interrompu le traitement des commandes de certains produits depuis août.
Certains États, régulateurs et gouvernement fédéral ont des règles spécifiques concernant le signalement des incidents, ou envisagent de les mettre en œuvre, mais celles de la SEC sont de loin les plus détaillées.
Le seuil de matérialité prévu par les règles de la SEC inclurait dans de nombreux cas le fait qu’une entreprise ait payé une rançon, a déclaré Doron Goldstein, associé en matière de confidentialité et de cybersécurité au sein du cabinet d’avocats Withers.
Des paiements s’élevant à des millions de dollars pourraient être importants pour certaines entreprises, a déclaré Goldstein. « Nous allons voir davantage de reportages sur des choses dont le public ignorait qu’elles se produisaient auparavant », a-t-il déclaré.
Le rythme auquel les victimes paient des rançons est en baisse constante depuis des années, ce que les cyber-experts attribuent à des investissements plus élevés dans la sécurité, à de meilleures pratiques et à une formation et une préparation plus approfondies en matière de réponse aux incidents.
Au deuxième trimestre 2023, un niveau record de 34 % des attaques a conduit les entreprises à payer, selon Coveware, qui négocie avec les pirates informatiques au nom des victimes. Ce chiffre était de 42 % pour la même période en 2022, 53 % pour le deuxième trimestre 2021, 69 % pour la même période en 2020 et 79 % en 2019.
Dans le même temps, a déclaré Coveware, le montant moyen des rançons payées a fortement augmenté ces derniers mois pour atteindre 740 144 $ à la fin du deuxième trimestre 2023, soit une augmentation de 126 % par rapport au premier trimestre.
Le secteur de la cybersécurité est divisé sur la question de savoir si les entreprises doivent payer des rançons. Le Federal Bureau of Investigation conseille généralement aux victimes de ne pas payer parce que cela encourage davantage d’attaques. Les entreprises qui paient pourraient enfreindre les sanctions américaines contre les groupes ou pays cybercriminels, a déclaré Nick Hyatt, responsable des pratiques cyber chez la société de sécurité Optiv.
Pour certains secteurs, la décision repose sur des calculs délicats. Les ordinateurs et équipements en panne dans les établissements de santé, par exemple, peuvent avoir des conséquences mortelles. Les casinos et les hôtels peuvent être paralysés par de longues pannes, ce qui pourrait nuire aux économies locales.
“Comme le divertissement et l’hospitalité sont profondément ancrés dans des villes comme Las Vegas, les répercussions d’une attaque peuvent être généralisées”, a déclaré Hyatt, faisant référence aux piratages de MGM Resorts et Caesars.
Dans de rares cas, des entreprises ont publiquement admis avoir payé une rançon. En 2021, Joseph Blount, directeur général de Colonial Pipeline, a déclaré au Wall Street Journal qu’il a autorisé un paiement de 4,4 millions de dollars parce que les dirigeants n’étaient pas sûrs de l’ampleur des effets d’une attaque contre la société énergétique et du temps qu’il faudrait pour rétablir les opérations. “Je dois admettre que je n’étais pas à l’aise de voir de l’argent sortir par la porte de gens comme celui-ci”, avait déclaré Blount à l’époque.
Les entreprises peuvent payer mais ne pas le reconnaître en raison de l’embarras ou de la crainte de fournir des munitions pour d’éventuelles poursuites judiciaires, a déclaré Bob Zukis, PDG du Digital Visitors Network, une organisation qui défend l’expertise en matière de cybersécurité au sein des conseils d’administration des entreprises.
« Ce serait admettre que c’était une mesure de dernier recours : nous ne pouvions rien faire d’autre et nous devions donc payer », a-t-il déclaré. “Pourquoi mettre ça là-bas?”
Caesars a déclaré dans son dossier auprès de la SEC que des pirates informatiques avaient volé des données de la base de données de son programme de fidélité, notamment le permis de conduire et les numéros de sécurité sociale de ses membres.
“Qu’ont-ils à gagner en confirmant qu’ils ont payé des millions de dollars à des criminels qui pourraient attaquer un hôpital pour enfants ou une organisation caritative dès le lendemain”, a déclaré Brett Callow, analyste des menaces chez Emsisoft, société de cybersécurité. « Être perçu comme finançant ces groupes peut être une très mauvaise publicité », a-t-il déclaré.
Écrivez à Catherine Stupp à [email protected] et James Rundle à [email protected]
Copyright ©2022 Dow Jones & Company, Inc. Tous droits réservés. 87990cbe856818d5eddac44c7b1cdeb8
