Chaque année, CIRA réalise un sondage auprès des décideurs canadiens responsables de la sécurité des technologies de l’information pour mieux comprendre comment ils résistent aux cyberrisques. The Strategic Counsel a réalisé le sondage de cette année en juillet et août, et a recueilli les réponses de 500 professionnels des TI de tout le pays.
Le matin du 7 mai, Colonial Pipeline découvrait une demande de rançon affichée sur l’écran dans sa salle de contrôle. Un peu plus d’une heure plus tard, un responsable décida d’interrompre toutes les activités de l’oléoduc. Avant la fin de la journée, le directeur général Joseph Blount Jr décida de payer la rançon de près de cinq millions de dollars américains en bitcoin.
M. Blount relata les événements de cette journée à un comité du Sénat, le 8 juin comme l’a rapporté CNBC. Bien que le FBI soit opposé au paiement des frais de chantage aux pirates informatiques, M. Blount déclara qu’il devait payer la rançon pour avoir tous les outils à sa disposition pour le redémarrage de l’oléoduc. Le montant versé au groupe de rançongiciel DarkSide pour obtenir l’outil de décryptage était minime comparativement à l’ampleur de la perturbation causée par la panne. Ce paiement, Colonial Pipeline se l’est imposé pour étudier la gravité des dégâts causés par l’attaque.
Bien que les organismes chargés de faire respecter la loi désapprouvent le paiement de rançons, Colonial Pipeline fut juridiquement acquittée. Le paiement aurait été jugé illégal seulement si DarkSide avait été sur la liste des organisations visées par des sanctions américaines. Le paiement de la rançon a causé des remous jusqu’au sommet de l’État américain, et l’annonce par l’administration américaine pour la sécurité des transports d’une nouvelle politique visant à exiger des exploitants d’oléoducs de signaler les cyberattaques dans un délai de 12 heures. Le président américain Joe Biden a signé un décret pour la création d’un comité d’examen de la cybersécurité chargé de mener des enquêtes et faire le point sur les cyberattaques majeures.
Ce type de mesure immédiate prise par le gouvernement fédéral fait défaut au Canada qui figure tout de même parmi les principaux pays touchés par les rançongiciels, selon l’évaluation du Centre canadien pour la cybersécurité (CCCS). On ignore l’ampleur réelle du problème, car la plupart des attaques ne sont pas signalées. Pourtant, lorsque les attaques par rançongiciel réussissent, la majorité des entreprises canadiennes prennent la même décision que M. Blount a prise le 7 mai, à savoir payer.
Dix-sept pour cent des entreprises reconnaissent avoir été victimes d’une attaque par rançongiciel réussie durant les douze derniers mois, selon le rapport de 2021 sur la cybersécurité de CIRA. Et parmi les victimes, 69 % affirment avoir payé la rançon (d’après la taille limitée de l’échantillon).
17 % des entreprises ont été touchées par un rançongiciel69 % ont payé la rançon
Le paiement de la rançon n’est qu’un des nombreux maux des victimes de rançongiciels. Environ un tiers d’entre elles affirment avoir été lésées par les coûts et les frais de rétablissement, 30 % ont subi une perte de revenu, 30 % ont déclaré avoir perdu des clients et 30 % disent avoir été obligées d’apporter une assistance à leurs clients ou de communiquer avec eux à cause de l’incident. Près d’un quart des entreprises affirment que cela a nui à leur réputation.
Un tiers des entreprises a cité la mobilisation du temps des employés,
et 19 % disent avoir vu leur réputation ternie, une hausse par rapport à 6 % en 2018.
Plus d’entreprises canadiennes affirment que leur réputation a été ternie à cause des cyberattaques en général. Près d’une entreprise sur cinq cite cela comme une conséquence des cyberattaques subies durant les 12 mois, une hausse comparativement à seulement 6 % en 2018. Il n’est pas étonnant que craignant de faire la une des manchettes et de voir la confiance de leurs clients et leurs employés sapée, plusieurs entreprises décident de se connecter discrètement à une plateforme d’échange de cryptomonnaies pour payer les pirates informatiques, le cas échéant.
Les attaques par rançongiciel ont nui à des centaines d’entreprises canadiennes et à d’importants fournisseurs d’infrastructures ces deux dernières années, et le problème pourrait empirer dans les prochains mois selon le CCCS. Et étant donné que la solution hormis le paiement est bien pire, il y a fort à parier que les groupes de rançongiciels continueront d’en profiter. Alors quelle est la solution? D’une manière ou d’une autre, le gouvernement doit prendre des dispositions pour modifier la donne économique des rançongiciels.
D’un côté de l’équation, une intervention du gouvernement pourrait rendre difficile l’exploitation d’un rançongiciel. À l’heure actuelle, les groupes de rançongiciels sont tolérés par certains pays qui trouvent un avantage stratégique à s’allier à eux. Le CCCS cite l’exemple de la Russie et la Corée du Nord.
Pour le Canada, qui ne tolère aucun groupe de rançongiciels, il devrait peut-être voir l’autre aspect de l’équation et donner aux victimes une raison de se donner le temps de la réflexion avant de payer une rançon. Près des deux tiers des professionnels en cybersécurité sont en faveur de l’adoption d’une loi qui interdirait les paiements de rançon, selon le sondage de CIRA. Seuls 7 % d’entre eux sont opposés à cette idée, tandis que 22 % déclarent n’être ni pour ni contre.
Assurément, si le gouvernement n’est pas informé d’une demande de paiement de rançon, il lui est impossible de faire respecter la loi l’interdisant. C’est pourquoi, si les gouvernements envisagent de recourir à la politique du bâton pour dissuader les victimes de payer, ils devront également brandir la carotte pour les encourager à faire la bonne chose.
C’est l’approche recommandée par un groupe de travail sur les rançongiciels (dont le Groupe national de coordination contre la cybercriminalité de la GRC est membre) créé par l’Institut américain pour la sécurité et la technologie, rapporte IT World Canada. Le groupe recommande, entre autres, de créer des fonds d’intervention et de rétablissement cybernétiques pour soutenir les victimes et leur demander d’envisager d’autres solutions que le paiement avec des bitcoins. Au minimum, les entreprises devraient examiner les outils de décryptage gratuits fournis par No More Ransomware, un partenariat entre l’industrie et les organismes internationaux chargés de l’application de la loi.
Si le gouvernement veut réussir à dissuader les paiements pour les rançongiciels, il devra également avoir le courage de faire face aux répercussions, à savoir affronter un groupe de pirates furieux de ne pas être payés, et la possibilité que des infrastructures importantes se retrouvent à leur merci. Le gouvernement du Canada prendra-t-il des mesures vigoureuses pour contrer la menace des rançongiciels?
Dans le prochain blogue, nous verrons l’implication des paiements de rançongiciels dans la hausse des coûts d’assurance cybersécurité.
Erin apporte à CIRA son bagage du marketing dans les secteurs de l’enseignement supérieur et des organismes sans but lucratif. En 2016, elle a participé au Programme Jeunesse@IGF de l’ISOC et s’est rendue à Guadalajara, au Mexique, pour participer à l’IGF. Elle est titulaire d’un baccalauréat en commerce international délivré par l’Université Carleton.
