Que faire lorsqu’un logiciel malveillant, un ransomware en l’occurrence, a crypté et rendu inaccessibles des fichiers vitaux pour l’entreprise ? Lorsque cette situation se présente, un cauchemar pour les responsables de la sécurité informatique, le choix devient trop souvent binaire : payer une rançon ou perdre les données. Voici les trois principaux aspects à considérer pour prendre cette décision.
La première question à se poser est : ai-je réellement besoin de ces données ? Il faut d’abord établir un état des lieux pour savoir ce qui a été perdu et quel impact cette perte a sur l’organisation. Cette étape ne peut pas être menée par l’équipe informatique seule, mais en concertation avec les autres départements, car ils savent de quoi ils ont le plus besoin, combien de temps ils perdraient si certains fichiers étaient irrécupérables, etc.
L’existence de sauvegardes permet de mitiger l’impact de la perte des données, à condition que celles-ci soient assez récentes. La fréquence des sauvegardes dépend de la politique de chaque entreprise ; le temps nécessaire pour accéder à ces données aussi. S’il faut à l’entreprise plus de quelques jours pour récupérer les données, la perte de productivité des équipes pendant ce temps peut devenir supérieure à ce qui est demandé par le pirate pour permettre à l’entreprise de récupérer ses données.
Dans certains cas, l’entreprise a l’obligation de fournir un accès rapide aux données aux clients, fournisseurs, organismes publics, etc. Une telle obligation, le cas échéant, fera souvent pencher la balance vers le paiement de la rançon.
La deuxième question à se poser est relative au rapport entre le paiement de la rançon et la récupération des données. Ce problème contient deux aspects. Tout d’abord, quel est le degré de chiffrement des données cryptées ? Est-il possible de les décrypter assez rapidement sans payer de rançon ? Des solutions de recouvrement des données fiables existent et sont la meilleure option, quand elles sont disponibles pour le ransomware qui infecte le système informatique.
Ensuite, y a-t-il des garanties que payer permettra de récupérer la clé de chiffrement ? Il y a quelques mois, le Kansas Heart Hospital a été infecté par un ransomware, cédé et payé une rançon afin de récupérer des données, suite à quoi les pirates ont demandé davantage d’argent en échange de la clé de chiffrement – l’hôpital a refusé d’effectuer le second paiement. Il appartient à l’entreprise d’évaluer les chances de recouvrement de la clé de chiffrement avant de payer une rançon.
Enfin, il faut considérer les aspects connexes : la réputation de l’entreprise, le risque de récidive d’une telle attaque après avoir cédé une première fois, l’image d’une entreprise « faible » et incapable de sécuriser ses données auprès des clients. C’est pour ces raisons que le FBI recommande de ne jamais payer de rançon – bien qu’en pratique, l’entreprise n’a parfois pas d’autre choix.
En cas d’infection par un ransomware, il n’y a pas de solution parfaite, mais une moins mauvaise que l’autre. Le mieux est de se préparer en amont afin de ne pas avoir à prendre cette décision.
___________
Phil Richards est Chief Security Officer chez LANDESK.