Gouvernance
Payer ou ne pas payer ?
Par Mathieu Flecher, publié le 24 septembre 2020
Je ne sais pas ce qu’il s’est passé cet été, ou peut-être quelques semaines ou quelques mois avant. Toutes ces histoires de virus… Je veux parler bien sûr de toutes ces entreprises qui ont été victimes de ransomwares, les unes à la suite des autres, comme un effet domino sans fin… Et cette question existentielle : “Payer… Ou ne pas payer…”
Par Mathieu Flecher, DSI d’une entreprise industrielle française
On ne va pas revenir sur les causes. On sait tous que le problème est entre la chaise et le clavier. Que lorsqu’une entreprise est victime d’un ransomware, c’est majoritairement, voire exclusivement, dû à un utilisateur qui, par excès de confiance, clique là où il ne faut pas, s’authentifie alors qu’il ne faut pas, et ouvre la porte aux méchants hackers. Bref, le faux pas.
Je vais parler ici de deux phénomènes. Le premier est la communication que l’on va mettre en place autour de cet événement. Le second est la décision que l’on va prendre : allons-nous payer ou pas ?
Si l’on prend l’exemple de Garmin, qui a été rendu public relativement tôt, beaucoup ont jugé que leur communication a été mal organisée. Pour eux, il y avait un vrai risque à la fois de corruption et de vol de leurs données, qui pouvait de plus entacher grandement la confiance que les utilisateurs pouvaient avoir dans leur système. C’est clairement un coup à faire fuir tous les clients si vous n’êtes pas capable d’assurer la sécurité des données les concernant.
Alors, forcément, quand vous êtes victime d’un ransomware et qu’on vous réclame 10 M$ sur un chiffre d’affaires trimestriel avoisinant les 800 M$, c’est tout à fait raisonnable … bien que toujours déraisonnable.
Payer 10 millions et étouffer l’affaire ? Ne pas payer 10 millions et rendre l’affaire publique ? Payer les 10 millions et néanmoins voir cette affaire arriver sur la place publique ? Cruel dilemme du fait que les implications dépassent le simple management des systèmes d’information et ont bien trait à la survie de l’entreprise tout entière.
Donc vous avez beau préparer en amont cette éventualité, lorsqu’elle se présente, tout ce que vous avez imaginé peut varier en fonction de la typologie d’attaque, et de la réaction que les hackers auront vis-à-vis de votre entreprise. Ah oui, car vous pouvez très bien, qui plus est, payer et ne jamais recevoir votre clé de décryptage. Ce qui met à mal le moindre de vos scénarios élaborés.
Et vous, avez-vous déjà eu une discussion en tête-à-tête avec votre PDG pour lui poser la question fatidique : « Dites-moi, Gérard, si jamais nous sommes victimes d’un ransomware et qu’on nous réclame une somme avoisinant 5 % du chiffre d’affaires, quelle sera votre position ? »
Je pense qu’aucun d’entre nous n’a eu cette discussion de façon aussi frontale. Pourtant, il me semble important de préparer un minimum cette éventualité. Une sorte de PCA en quelque sorte.
Ce qui m’a bien fait rire pendant l’été, c’est de lire dans les journaux les propos de toutes ces personnes bien pensantes qui se gargarisaient d’avis sur la question, en expliquant et en clamant haut et fort qu’en aucun cas il ne fallait payer.
Cette position très vertueuse, je peux la comprendre, je peux l’entendre, mais quand c’est vous qui êtes concerné, je doute fort que le discours soit le même.
Quand vos données se sont envolées, quand vos clients sont dans le doute, je pense que vous êtes prêt à tout pour retrouver une situation normale. Bien sûr qu’il ne faut pas payer, parce que, quelque part, c’est encourager un commerce illégal. Un peu comme un parrain de la pègre dans les années 1920 qui venait casser votre boutique si vous n’acceptiez pas sa « protection ». Expliqué sous cet angle, on se dit qu’effectivement il ne faut surtout pas payer, qu’il faut résister, aller voir la police, demander par exemple conseil à l’ANSSI.
Malheureusement, il ne s’agit plus d’un petit commerce illicite à l’échelle d’une ville secondaire, mais bien de sociétés internationales que l’on détrousse comme de vulgaires marchands de légumes – contre lesquels je n’ai rien et cela m’embêterait bien, d’ailleurs, que le mien ait des soucis tellement il m’a dépanné pendant le confinement. Et la somme n’est évidemment pas la même. De quoi attiser toutes les convoitises, et de générer des vocations chez les apprentis hackers.
Je vous avoue que, personnellement, je suis complètement démuni face à cette situation. Si demain nous étions victimes de ce genre d’escroquerie, parce qu’il s’agit bien d’escroquerie, je suis dans l’incapacité d’établir le moindre plan de continuité d’activité.
Malheureusement, en quelque sorte, ce qui viendra sauver certaines entreprises, c’est leur secteur d’activité. Pour un hacker, c’est sexy, c’est tentant, c’est jubilatoire même, de se dire qu’on est en train de détrousser les données personnelles de millions d’utilisateurs qui pratiquent leur activité sportive préférée. C’est moins sexy de se gargariser d’avoir rançonné une société industrielle de la Creuse qui fabrique des joints en silicone pour des robinets. Et probablement moins rémunérateur également, car le montant de la rançon demandée ne sera certainement pas le même.
Mais, comme dirait le meilleur RSSI de France, dont personne ne connaît le nom pour des raisons évidentes de sécurité, « l’essentiel n’est pas de se protéger, mais de savoir comment se relever ».
Chers amis DSI, je vous laisse imaginer vos plans de reprise d’activité sous cette période doublement « vérolée ».
(*) Mathieu Flecher est le pseudonyme d’un DSI bien réel…