Dans une guerre classique, les hôpitaux sont paralysés par l’afflux de blessés, dans une cyberguerre ils le sont par des ransomwares.
Le blocage informatique que subit depuis 5 semaines -le jour où j’écris ces lignes-, le centre hospitalier sud-francilien à Corbeil-Essonnes est le plus long feuilleton sans doute autour d’une prise d’otage. Un piratage opéré par des « “criminels”…pour en rester là », indique d’un air entendu le ministre de la santé et médecin urgentiste, François Braun qui les qualifiera sur Europe 1 un autre jour de « cyber-terroristes ». Le détail est important : les maîtres chanteurs seraient-ils de simples braqueurs sans scrupule ou des mercenaires opérant pour un état ? Des pirates ou des corsaires ?
La question est, du reste, presque tranchée, quand on sait que les experts désignent comme auteur de l’attaque le trop fameux groupe criminel russophone Lockbit 3.0, auteur du cyber-piratage de près de 150 organisations, essentiellement européennes, sur les 3 premières semaines de septembre seulement. On peut donc soupçonner la Russie, sans en avoir la preuve.
« Il est hors de question de payer la rançon, la santé des français ne sera pas prise en otage » a déclaré, bravache, le ministre de la santé, aux côtés du ministre du numérique. C’est donc le gouvernement qui est à la manœuvre dans un bras de fer devenu affaire d’état, mais à l’issue incertaine… A ce jour, le montant de la rançon demandée -en échange de la clé de chiffrement et de la destruction des données volées – est divisé par 5 par rapport à la revendication initiale (2 millions au lieu de 10). Mais un échantillon d’une douzaine de gigaoctets de données personnelles sensibles a été mis en ligne dans le darkweb par les pirates, pour montrer leur pouvoir de nuisance.
Cependant, le bénéfice collatéral est l’augmentation de 20 millions du budget en cybersécurité du secteur de la santé, le portant à 45 millions.
Faut-il payer les cyber-rançons, et les assurances doivent-elles les indemniser ?
Un projet de loi présenté en Conseil des ministres autorise l’indemnisation, sous condition de déposer une plainte. Mais le débat fait rage.
Le Cesin (Club de Experts de Sécurité de l’Information et du Numérique) a sondé ses membres sur ces dispositions réglementaires, le résultat révèle que 82% des 249 répondants se positionnent contre. L’association explique : « Cette annonce provoque de vives réactions dans la communauté des professionnels de la cybersécurité, et soulève de nombreuses questions, comme le risque d’encourager le cybercrime, les pressions que pourraient exercer les assureurs auprès de leurs clients pour payer la rançon si celle-ci s’avère moins élevée que les coûts de remédiation, les risques accrus de récidives pour l’entreprise quand celle-ci a été estampillée “bon payeur” par la communauté des cybercriminels (…). Quant aux réserves concernant les indemnisations sur les attaques lorsqu’elles sont d’origine étatique, elles ne sont simplement pas applicables tant les questions d’assignation sont complexes et les frontières floues.(…) Le CESIN est cependant bien conscient que certains dirigeants de PME-PMI, qui n’ont pas suffisamment anticipé le risque cyber, sont tentés de payer les rançons pour pouvoir récupérer l’accès à leurs données lorsque la pérennité de leur entreprise est en jeu. »
La cybersécurité et la résilience deviennent en effet un impératif de survie pour les entreprises. Et au moins une garantie de santé économique. « La cybersécurité est partie intégrante de la compétitivité de toute entreprise et de la confiance de ses clients » nous expliquait Farid Illikoud, Ciso groupe de Décathlon. Après l’ère des directions commerciales et des Daf, le RSSI deviendrait-il le nouvel homme fort des organisations ?