Quelles politiques publiques pour lutter contre les ransomwares ?

Les attaques de ransomwares demeurent une menace de premier plan pour les organisations en France.

Les attaques de ransomwares demeurent une menace de premier plan pour les organisations en France. En 2021, la France a connu une augmentation de 255 % des attaques de ransomwares par rapport à l'année précédente, selon les rapports de l’ANSSI. A l’échelle mondiale, en 2023, le coût moyen d’une violation des données en 2023 était de de 4,45 millions de dollars, soit une augmentation de 15% en 3ans selon une nouvelle étude dévoilée par IBM.  

Il était jadis à la mode de dire que les ransomwares ne sont plus une question de « si » mais de « quand » et de « comment » serons-nous compromis. Aujourd’hui, la menace est telle qu’il faudrait plutôt se demander « depuis combien de temps » sommes-nous compromis !

Un message à éclaircir concernant les rançons

Et il faudrait se pencher en premier lieu sur la question du paiement des rançons, qui financent massivement les groupes de cybercriminels et leurs permettent de mener des opérations encore plus sophistiquées.

Certes, la tendance semble heureusement à la baisse : en 2022, seulement 41 % des entreprises françaises ont continué à payer les rançons, alors qu'elles étaient 76% en 2019. Mais ce n’est hélas pas suffisant, et le gouvernement pourrait faire plus afin de préciser sa position et décourager le paiement des rançons (un paiement qui ne se justifie pas toujours, et quasiment jamais pour les entreprises ayant pu se préparer à la crise).

De manière surprenante, alors que le message gouvernemental est généralement clair sur le fait que le paiement de la rançon ne saurait être encouragé, en janvier 2023 a été promulguée la Loi d'Orientation et de Programmation du ministère de l’Intérieur (LOPMI), qui permet aux entreprises de souscrire à des assurances cyber couvrant les paiements de rançons à la condition d’un dépôt de plainte.

Si l’intention derrière le texte est claire (les assureurs sont des acteurs incontournables de cette équation, et lier la couverture du paiement des rançons par l’assureur à un dépôt de plainte préalable permet de garder une vue sur ces affaires), le message peut apparaître contradictoire à première vue.

Cette contradiction apparente naît peut-être d’une différence d’approches entre Bercy (vision économique), qui a autorisé les assureurs à proposer le paiement de rançon dans leurs garanties, et l’ANSSI, sous tutelle des services du Premier Ministre (vision de sécurité publique), qui s’y oppose.

Les choses bougent, cependant, notamment depuis l’annonce récente d’un accord entre 40 pays, dont la France, qui s’engagent à ne plus payer de rançons afin de tenter d’assécher les revenus des groupes cybercriminels !

Allouer un vrai budget cyber pour les administrations

Les administrations, notamment les hôpitaux publics en France, font face à une grave problématique liée aux attaques de ransomwares. En raison de leur statut public, ces établissements ne peuvent pas payer de rançon, ce qui n'incite pas les cybercriminels à faire la différence. Les attaques se produisent régulièrement, avec une incidence hebdomadaire selon l'ANSSI. En 2022, les pertes dues aux ransomwares dans le secteur de la santé ont atteint environ 20 millions d'euros.

Bien qu'un plan d'investissement d'un milliard d'euros en cybersécurité ait été annoncé en 2021, la majeure partie de ces fonds ne bénéficiera pas directement aux établissements de santé. Seuls 136 millions d'euros seront alloués à l'ANSSI pour aider les hôpitaux, couvrant également la création de CERT régionaux. Ainsi, les hôpitaux se retrouvent avec une part limitée de ces fonds cruciaux pour renforcer leur sécurité face aux cybermenaces.

Refuser la fatalité et investir dans la résilience

Les attaques par ransomwares ne doivent cependant pas être considérées comme une fatalité, mais plutôt comme un rappel des lacunes dans notre cyber-résilience.

Si les entreprises doivent évidemment continuer à investir dans des mesures proactives telles que l'amélioration des infrastructures de cybersécurité et la formation des collaborateurs, la menace est telle qu’elle impacte aujourd’hui directement la stabilité de notre société. C’est pourquoi l’action de l’état en matière de cybersécurité, à travers des politiques publiques claires et volontaires, n’est plus une option.

Heureusement, le gouvernement français a pris la mesure de la menace. Il lui faut désormais poursuivre ses engagements pour aider les organisations à atteindre un niveau de cyber-résilience supérieur.

La cyber-résilience, nouvel objectif commun

Au-delà même de la cybersécurité, c’est aujourd’hui la cyber-résilience qui doit nous guider, car l’histoire récente a montré qu’on ne saurait déjouer toutes les tentatives d’attaques, tout le temps.

Pour renforcer la résilience du pays, c’est une fois encore bien sûr aux entreprises de mettre en œuvre leur stratégie de cybersécurité de manière à limiter la propagation des attaques et maintenir le fonctionnement des systèmes informatiques même en cas de cyberattaques continues. Mais la politique publique doit également les y aider, notamment à travers des incitations fiscales pour investir dans des outils de cybersécurité, un accès facilité à la formation en cybersécurité et la mise en place de collaborations plus étroites entre le gouvernement et l'industrie.

Il est temps d'adopter une approche proactive plutôt que réactive pour faire face à la menace des ransomwares en France.