Le Centre national de cybersécurité (NCSC) et le Bureau du commissaire à l’information (ICO) ont uni leurs forces pour appeler la profession juridique à cesser de conseiller aux organisations de payer les demandes de ransomware.
Dans une lettre adressée à la Law Society, le NCSC et l’ICO ont déclaré qu’il existait des preuves évidentes d’un nombre croissant d’organisations effectuant des paiements de rançongiciels, certaines d’entre elles sur les conseils de professionnels du droit agissant sur la croyance erronée que cela préserverait l’intégrité de leurs données, ou entraîner des pénalités moindres de la part de l’ICO si le régulateur s’en mêle.
La lettre note les directives très claires du NCSC selon lesquelles payer les gangs de rançongiciels ne garantit rien, et réaffirme que la croyance selon laquelle l’ICO considère les paiements de rançon comme un facteur atténuant est complètement fausse. Il exhorte le Barreau à le rappeler à ses membres, car certains praticiens du droit donnent clairement des conseils inexacts et mettent leurs clients en danger. “Les ransomwares restent la plus grande menace en ligne pour le Royaume-Uni et nous n’encourageons ni ne tolérons le paiement de demandes de rançon aux organisations criminelles”, a déclaré Lindy Cameron, PDG du NCSC.
“Malheureusement, nous avons constaté une augmentation récente des paiements aux criminels rançongiciels et le secteur juridique a un rôle vital à jouer pour aider à inverser cette tendance. La cybersécurité est un effort collectif et nous exhortons le secteur juridique à travailler avec nous alors que nous poursuivons nos efforts pour lutter contre les ransomwares et assurer la sécurité du Royaume-Uni en ligne.
Le commissaire à l’information John Edwards a ajouté : « S’engager avec des cybercriminels et payer des rançons ne fait qu’inciter d’autres criminels et ne garantira pas que les fichiers compromis seront publiés. Cela ne réduit certainement pas l’ampleur ou le type d’action coercitive de l’ICO ou le risque pour les personnes touchées par une attaque.
“Nous avons vu la cybercriminalité coûter des milliards aux entreprises britanniques au cours des cinq dernières années”, a-t-il déclaré. “La réponse à cela doit être la vigilance, une bonne cyber-hygiène – y compris la conservation de fichiers de sauvegarde appropriés et une formation appropriée du personnel pour identifier et arrêter les attaques. Les organisations obtiendront plus de crédit de ces arrangements qu’en payant les criminels.
“Je veux travailler avec la profession juridique et le NCSC pour m’assurer que les entreprises comprennent comment nous examinerons les cas et comment elles peuvent prendre des mesures pratiques pour se protéger d’une manière que nous reconnaîtrons dans notre réponse si le pire devait arriver.”
La politique actuelle de l’ICO reconnaît quand les organisations ont pris des mesures pour comprendre pleinement ce qui s’est passé au cours d’une attaque de ransomware, a appris de leur expérience et peut prouver que, le cas échéant, elles ont signalé l’incident au NCSC et peuvent démontrer leur conformité à ses conseils – les conseils actuels du NCSC peuvent être consultés ici, et l’ICO a publié des conseils similaires.
Les attaques de ransomwares ou d’autres formes de cybercriminalité doivent dans tous les cas être signalées via la hotline d’Action Fraud – 0300 123 2040 – à l’ICO dans le cas de violations de données pertinentes au RGPD, ou au NCSC pour les cyberincidents majeurs.
Charl van der Walt, responsable de la recherche sur la sécurité chez Orange Cyberdefense, a déclaré qu’il était temps de revoir l’idée de réglementer, voire d’interdire purement et simplement, le paiement de rançons aux cybercriminels. “Si les victimes continuent de payer les rançons exigées d’elles par les cybercriminels, il n’y a aucune raison de croire que la vague de crimes liés aux ransomwares diminuera”, a déclaré van der Walt.
«Comme le souligne avec prévoyance M. Edwards, il ne faut pas seulement tenir compte de l’impact sur les entreprises individuelles, mais également des dommages sociétaux plus larges. La théorie du crime nous enseigne que pour lutter contre le crime, nous devons démotiver le délinquant, ce qui, dans ce cas, signifie couper son flux d’argent.
“Cependant, comme il n’y a pas d’obstacle juridique empêchant les victimes de réclamer des paiements de rançon sur la cyber-assurance, elles sont d’une certaine manière incitées à payer. Par conséquent, il convient d’évaluer les avantages et les inconvénients de la réglementation de ces paiements. »
Van der Walt a déclaré que s’il est clair que les paiements de rançon financent de nouvelles attaques et n’apportent aucune garantie vis-à-vis de la récupération des données, la réglementation excessive ou la criminalisation des paiements risque de déplacer l’accent de la criminalité sur la victime et pourrait rendre les organisations réticentes à signalez les incidents et poussez les rançongiciels plus profondément sous terre.
Cependant, a-t-il ajouté, qu’ils soient criminalisés ou non, il ne fait aucun doute que les victimes ne doivent pas payer de rançon.
