Cybercrime : briser la rentabilité

Une autre approche existe, entreprise aux États-Unis depuis fin 2020 : le département du Trésor américain a publié une note attribuant des sanctions - par exemple financières - aux entreprises et à l’ensemble des intermédiaires payant les rançons. En cas d’attaque, les victimes sont appelées à contacter et à coopérer avec les autorités.

Ces approches ne parviennent pas à enrayer la hausse du nombre de paiements à l’échelle internationale

Ces décisions et initiatives ont une portée limitée, notamment en France. Dans près de 20 % des cas, les entreprises attaquées paient les rançons, d’après les observations de terrain des équipes de réponse aux incidents du cabinet Wavestone. Ce chiffre se confirme au regard des analyses des paiements de rançons en monnaies électroniques et des flux financiers associés.

Pourquoi les entreprises paient-elles la rançon ? C’est souvent dans la (fausse) idée d’accélérer la reprise d’activité, mais aussi pour s’assurer que les données dérobées ne soient pas divulguées. Généralement, le montant de la rançon est raisonnable et prend en compte les dommages subis. De plus, les criminels autorisent des négociations permettant d’abaisser le prix. Un écosystème d'accompagnement à la négociation et aux paiements des rançons - sociétés de négociation, intermédiaire de paiements, etc. - s’est récemment structuré. Le support de ces derniers n’est sûrement pas étranger à la hausse des règlements.

Quelques pistes de réflexions pour tarir les sources de revenus des cybercriminels

Dès lors, comment procéder ? Il n’existe pas de solution miracle. Nous avons néanmoins identifié trois enjeux.
 
Tout d’abord, une communication limpide sur la posture de son organisation - que l’on soit un acteur privé ou public -, précisant qu’aucune rançon ne sera jamais payée, peut fortement décourager les cybercriminels. C’est aujourd’hui le cas pour les organisations publiques (collectivités, ministères…). Les entreprises pourraient faire de même, par exemple via le document de référence pour les organisations cotées. Il est évident que cette mesure ne sera pas suffisante pour contenir les vagues d’attaques, mais elle peut contribuer à éloigner certains cybercriminels.

Le second enjeu est de s’assurer de la réalité de l’intérêt du paiement d’une rançon. Le paiement doit être envisagé uniquement lorsqu’il est réellement nécessaire - par exemple si la survie de l’entreprise en dépend, ou si l’on est certain qu’il réduira la phase de crise et les impacts financiers. Cette vérification, par des experts indépendants et/ou en lien avec les autorités, pourrait ainsi être ajoutée dans les clauses des contrats d’assurance cyber. Ceci renforcerait en parallèle la coopération entre les victimes, les acteurs du monde de l’assurance et les autorités en charge de la lutte contre la cybercriminalité, afin de mieux tracer les actions des cybercriminels. Cette piste a été empruntée par les États-Unis, comme le montre la dernière note de l’Office of Foreign Assets Control (OFAC).

Enfin, le troisième enjeu est de renforcer les capacités de traçabilité et d’identification des transferts entre monnaies électroniques et monnaies traditionnelles afin de pouvoir, par exemple, geler les avoirs des cybercriminels. Cette mesure est cependant éminemment complexe puisqu’elle nécessite une importante coopération internationale.

Agir sur le sentiment d’impunité des cybercriminels

L’attractivité du crime cyber est également due à l’apparente impunité des cybercriminels. Ces derniers prennent peu de risques en comparaison aux criminels traditionnels. Ils sont par ailleurs souvent dissimulés dans des pays éloignés - géographiquement et culturellement - de leurs victimes. Le groupe cybercriminel Evil Corp en est l’archétype, exhibant un mode de vie outrancier et les importants gains financiers de ses membres (leur permettant d’acheter des voitures de luxe, d’organiser des fêtes fastueuses, etc.).

2021, une année charnière dans la lutte contre la cybercriminalité ?

Outre Emotet, les organisations cybercriminelles Netwalker et Egregor ont également vu certains de leurs opérateurs et affiliés se faire arrêter ces derniers mois. L’effet de ces opérations n’a pas tardé à se faire ressentir, puisque les plateformes Ziggy et Fonix ont annoncé arrêter leurs activités en conséquence (voir le premier article de notre série).

Il est intéressant de mentionner également la politique du "name & shame", qui existe depuis plusieurs années aux États-Unis, et dont le but est de révéler l’identité des cybercriminels. Même si l’impact de cette politique est évident en termes de communication, son efficacité opérationnelle est limitée. Les États-Unis en sont conscients et l’admettent : cette mesure n’est utilisée qu’en dernier recours, lorsqu’il devient certain que les cybercriminels ne pourront pas être appréhendés.

Malgré ces succès, l’écosystème criminel est résilient et continue de croître

Si les récents démantèlements ou arrêts d’activité représentent un tournant dans l’évolution des activités de l’écosystème cybercriminel, l’effort doit se poursuivre et gagner en intensité. Les opérateurs des plateformes Ransomware-as-a-Service sont pour la plupart toujours actifs et de nombreux concurrents espèrent se faire une place sur ce marché particulièrement profitable. 

La coopération internationale est évidemment fondamentale pour appréhender les criminels. Malheureusement, elle est lente à instaurer. En regard, les cybercriminels collaborent au quotidien pour perfectionner leurs méthodes et leurs outils et pour échapper au regard des autorités. Pour répondre à ces enjeux, nous allons dans le sens du World Economic Forum, qui propose de créer un partenariat global avec des entités chargées de stimuler les collaborations, et enfin des task forces dédiées à des sujets précis.

Dans la même logique, le temps de la justice reste globalement trop lent en comparaison avec l’environnement extrêmement dynamique de la cybercriminalité. La rédaction et l’application des lois pour limiter la prolifération des cyberattaques sont chronophages. De plus, la démarche judiciaire se heurte à la notion de territorialité : il peut parfois être difficile d’obtenir une autorisation pour intervenir sur le territoire d’un autre pays. C’est pourquoi les groupes criminels ont tendance à émerger dans des pays connus pour fermer les yeux sur leurs agissements (à condition que les cybercriminels ne les attaquent pas). 

Quelques pistes de réflexion pour mieux punir les cybercriminels

Les fonctions régaliennes (justice, sécurité, diplomatie…) sont en première ligne. Cependant, dans le plan du gouvernement français en matière de cybersécurité - annoncé notamment pour réagir contre la vague d’attaques touchant le secteur de la santé -, la justice est insuffisamment prise en compte. Le domaine judiciaire est en difficulté pour s’attaquer au cybercrime, et ce pour de nombreuses raisons : de trop nombreux dossiers, un manque d’effectifs qualifiés, un code pénal peu adapté à la lutte contre le cybercrime, des difficultés législatives liées à l’obtention et à la validité des preuves numériques, un cloisonnement entre les différents acteurs, un manque de ressources pour suivre les flux de monnaies virtuelles…

À l’échelle nationale, nous devons également lever certaines barrières pour rattraper le retard accumulé. L’un des enjeux principaux est le manque de coopération entre les nombreuses institutions, en particulier entre la justice et les services de renseignement. Un meilleur partage d’informations permettrait d’accélérer les enquêtes. À cet égard, la lutte contre le terrorisme à partir de 2015, autorisant un partage d’informations encadré entre le monde judiciaire et le monde du renseignement peut être une source d’inspiration.

Rendre les cibles des attaquants plus difficiles à identifier et les attaques plus difficiles à mener

Renforcer la sécurité minimum des réseaux, des systèmes et des solutions technologiques utilisés par les organisations publiques et privées augmentera mécaniquement le coût des cyberattaques pour les criminels. C’est donc le dernier facteur essentiel pour réduire la rentabilité du cybercrime.

Le niveau de sécurité des systèmes d’information des victimes est hétérogène

Tout d’abord, les PME et les ETI sont une cible pour les criminels du fait du manque de ressources dont elles disposent et de leur maîtrise insuffisante des fondamentaux de la cybersécurité. Pour les accompagner, la plateforme gouvernementale Cybermalveillance.gouv.fr propose de nombreux outils de sensibilisation, de prévention et d’assistance. Depuis 2020, la plateforme est également à l’origine du label ExpertCyber, permettant de garantir le niveau d‘expertise en cybersécurité d’entreprises spécialisées et pouvant accompagner les PME et les ETI. Notons que l’enjeu de la sécurisation des systèmes d’information de ces structures a été approfondi dans notre rapport de 2018, Cybermenace : avis de tempête. 

Ensuite, pour les grandes entreprises, la prise de conscience est en cours, comme l’atteste l’étude de Wavestone sur les grands indices boursiers : 100 % des entreprises du CAC 40 indiquent traiter le risque cyber dans leurs rapports annuels. Il reste cependant beaucoup à faire. L’analyse des budgets et des effectifs dédiés à la cybersécurité montre une hétérogénéité entre les différents secteurs. Pour les fonctions les plus critiques - celles d’importance vitale pour la nation - des obligations réglementaires fixent le niveau minimum à atteindre. Mais cela ne touche que près de 200 structures en France et ne concerne que certains systèmes (ceux qui assurent les services les plus critiques ou dangereux).

Enfin, le secteur public est fragilisé car il a manqué d’investissements conséquents depuis de nombreuses années. Les vagues d’attaques frappant les hôpitaux et mairies l’attestent. Toutefois, comme évoqué précédemment, la stratégie nationale lancée début 2021 permettra de combler ce déficit, notamment via des investissements massifs : près de 350 M€ pour le secteur de la santé, ainsi que 160 M€ du plan de relance dédiés aux collectivités territoriales.

Quelles sont les limites ?

Par ailleurs, les systèmes numériques conçus et vendus aujourd’hui n'intègrent pas toujours la cybersécurité par défaut. Leur sécurisation nécessite alors un effort supplémentaire pour les utilisateurs. L’ensemble du secteur numérique pourrait s’inspirer des évolutions observées ces dernières années dans l’industrie des smartphones, au sein de laquelle le chiffrement des données ou l’usage de codes d’accès par défaut ont permis une hausse générale de la sécurité des terminaux.

Quelques pistes de réflexion pour renforcer la sécurité des organisations

Des efforts peuvent être menés à l’échelle des organisations utilisatrices de services numériques. Un budget et des effectifs dédiés à la cybersécurité sont un prérequis pour déployer une hygiène de cybersécurité minimale, même s’ils dépendent bien entendu du contexte. En complément, l’organisation d’une simulation de crise rançongiciel est un moyen simple et efficace de tester et de valider la capacité d’une organisation à gérer un incident. Cela permet aussi de mobiliser largement et à haut niveau au sein des entreprises. 

Les fournisseurs de solutions numériques (éditeurs, sociétés de services…) sont également un maillon essentiel de la protection des organisations. Il est important de réguler les pratiques de sécurité pour atteindre un niveau minimum de cybersécurité dans les produits et les services numériques. À cet égard, nous encourageons les travaux de l’OCDE, formulant des bonnes pratiques et recommandations pour la sécurité des produits et services numériques. Par ailleurs, des réflexions peuvent être menées pour identifier et protéger les systèmes d’usage partagés par les clients d’un même fournisseur, afin d’empêcher les cybercriminels de rebondir d’une cible à l’autre (systèmes de supervision, d’administration, de supports) depuis ces infogérants ou hébergeurs de données. Pour accélérer ces évolutions, les clients de ces structures peuvent être encouragés à intégrer ces points dans leurs demandes de services.

Lutter tous ensemble contre le crime cyber

Plus que jamais, la lutte contre la cybercriminalité est devenue un enjeu transversal et nécessite une coopération de l’ensemble de l’écosystème. Celle-ci concerne les grands acteurs du numérique, qui ont aujourd’hui une capacité sans égale pour investiguer et protéger à grande échelle, les constructeurs du numérique chargés de fournir des systèmes et des services sûrs, les utilisateurs en charge de leur propre sécurité, et les acteurs régaliens aux échelles nationale et internationale pouvant traquer et arrêter les cybercriminels.

L’efficacité de cette lutte commune dépend du partage d’informations. Celui-ci remplit un double objectif : d’une part, alerter en temps réel sur les mécanismes utilisés par les cybercriminels pour les détecter, interrompre leurs attaques et tracer leurs financements en cas de rançon ; d’autre part, à moyen terme, consolider les informations sur les groupes et leurs fonctionnements, afin de les identifier et de les interpeller.

C’est en mobilisant les acteurs publics, privés, nationaux et internationaux que nous pourrons diminuer le nombre de cyberattaques, réduire leurs impacts et atteindre un niveau de risque acceptable pour nos économies et notre sécurité au quotidien.


Nous remercions particulièrement les personnes suivantes pour le temps qu'elles nous ont accordé dans le cadre de notre recherche.

Copyright : Saksham Choudhary / Pexels