En 2020, le fabricant polonais de jeux vidéo CD Projekt Red (CDPR) a été confronté à un exemple extrême de la loi de Murphy. Peu après le lancement de Cyberpunk 2077, l'un des jeux vidéo les plus attendus des cinq dernières années, il a été la cible d'une attaque par rançongiciel qui a entraîné non seulement le gel de ses actifs, mais leur exfiltration également (lien, en anglais). Et comme un malheur ne vient jamais seul, les pirates l'ont menacé de vendre aux enchères certains de ses plus importants actifs de propriété intellectuelle, dont les codes sources de ses plus célèbres jeux vidéo (lien, en anglais), au moment même où le studio cherchait à composer avec les réactions négatives face au grand lancement de Cyberpunk 2077 et à son échec commercial.

Devant cette situation, CDPR a réagi de manière plutôt surprenante : le fabricant a refusé de payer la rançon. Moins d'un jour après avoir pris connaissance de l'attaque, il a publié une copie de la lettre de rançon ainsi qu'un communiqué dans lequel il déclarait non seulement n'avoir aucune intention de payer, mais défiait aussi les pirates d'exécuter leur menace et de vendre les données volées (lien, en anglais).

Ce refus n'est pas resté sans conséquences. En effet, la nouvelle de l'attaque a fait chuter le cours de l'action de CDPR, et les codes sources de ses jeux les plus populaires ainsi que les renseignements personnels de ses employés se sont mis à apparaître un peu partout. Le fabricant a admis que la fuite de données pourrait même compromettre ses prochains projets (lien, en anglais).

Ces répercussions n'ont étonné personne et étaient faciles à prévoir. La question se pose : pourquoi CDPR a-t-il exprimé son refus de céder si rapidement et si catégoriquement? Si j'étais consultant en matière de violation de données, je dirais que CDPR a été en mesure de tenir tête à ses rançonneurs parce qu'il était suffisamment préparé pour déterminer et évaluer les conséquences d'une telle attaque. D'ailleurs, CDPR n'est pas le seul à avoir refusé de se plier aux demandes d'auteurs de menace.

À l'époque des premières attaques par rançongiciels, il était commun pour les victimes de payer les rançons exigées. Aujourd'hui, de plus en plus d'organisations refusent de le faire (lien, en anglais). Craignent-elles de plus en plus que le fait de payer ne garantisse pas que leurs opérations seront rétablies de manière sûre et sécurisée? Ou sont-elles au contraire plus confiantes en leur propre capacité de se remettre d'un piratage?

Ceci étant dit, seule une poignée d'organisations peut se permettre de dire « non » à une demande de rançon. Pour citer un exemple, contrairement à un nettoyeur de quartier, un hôpital fait face à des enjeux bien différents, mais une chose est certaine : toutes les entités doivent se montrer proactives et s'assurer d'être en mesure 1) d'agir rapidement en cas de fuite, 2) de limiter les dommages et 3) de se réserver l'option de ne pas réagir à la menace.

Voici donc six mesures à prendre dès aujourd'hui pour mieux résister aux cybermenaces en tant qu'organisation :

  1. Gardez vos environnements informatiques à jour et ayez des solutions de sauvegarde robustes. Au moment de choisir la solution qui leur convient le mieux, les organisations devront trouver le juste milieu entre coûts et risques. À tout le moins, c'est en veillant à ce que leurs employés adoptent des pratiques exemplaires quand ils utilisent leur équipement et en corrigeant les failles connues dès qu'elles sont repérées, que les organisations peuvent considérablement réduire le risque d'être victime d'un incident. Il peut également s'avérer judicieux pour ces dernières de compartimenter les différentes sphères de leurs activités commerciales pour limiter les dommages occasionnés par une cyberattaque.
  2. Sensibilisez le personnel aux pratiques exemplaires en matière de sécurité. Une chaîne est aussi forte que son maillon le plus faible. En effet, les pirates informatiques se servent fréquemment de la fraude psychologique, un moyen extrêmement efficace de s'introduire dans les systèmes. Les organisations doivent agir proactivement en sensibilisant tous ceux et celles qui ont accès à leur environnement informatique aux signaux d'alarme courants, ce qui peut aider à contrecarrer les tentatives de piratage ou, au minimum, permettre de signaler des comportements suspects. 
  3. Déterminez quelles sont les données critiques. Il est nécessaire de délimiter les données qu'une organisation ne peut pas se permettre de perdre ou de voir divulguer (renseignements personnels des employés, propriété intellectuelle et autres actifs exclusifs), et de s'assurer de les conserver et les sauvegarder séparément. Dans la mesure où la divulgation publique peut entraîner des conséquences sur le plan juridique ou commercial (par exemple pour ce qui est des secrets commerciaux et des inventions non brevetées), cette étape devrait faire partie de tout plan d'intervention en cas d'incident.
  4. Ayez une couverture d'assurance. Plus précisément, souscrivez une police d'assurance qui couvre les incidents de cybersécurité. Il revient aux organisations de déterminer le niveau de risque acceptable (et les primes afférentes), mais toute bonne police doit tenir compte des dépenses directes et indirectes, dont le coût des enquêteurs judiciaires et des conseillers juridiques. Il est également important de connaître les facteurs qui déterminent l'applicabilité d'une police d'assurance. Certaines d'entre elles exigent en effet que l'assureur approuve les décisions importantes, dont le recours à un conseiller juridique, ce qui peut constituer un obstacle en situation de crise si l'on ne s'y attend pas.
  5. Identifiez les intervenants clés. Sachez qui doit être mis au courant en cas de cyberattaque. Il faudra souvent respecter des obligations en matière de déclaration d'atteinte à la vie privée, lesquelles varient d'un territoire à l'autre. Il pourrait également y avoir des exigences contractuelles à respecter avec les fournisseurs ou les clients pour les tenir informés de toute violation. Avoir une liste actualisée des événements à signaler (et à qui) vous permettra de considérablement réduire votre temps de réponse à une crise.
  6. Créez une feuille de route de gestion de crise. Toutes les mesures susmentionnées devraient être intégrées dans votre feuille de route de gestion de crise. Préparez un protocole détaillant les premières étapes de votre réponse, dont une structure décisionnelle claire qui vous permettra de procéder rapidement aux autorisations et décisions clés pour répondre à l'incident. Le risque de paralysie est très réel puisque beaucoup de décisions devront être prises au moment d'un événement qui ne fait pas partie des activités normales de l'organisation.

En cas de cyberattaque, les organisations doivent être fin prêtes à rassembler rapidement les informations essentielles et agir en conséquence. Voici quelques questions auxquelles elles doivent pouvoir répondre sur le champ :

  • Que s'est-il passé? Les données ont-elles été seulement cryptées ou exfiltrées? Les auteurs de menace sont-ils toujours présents dans l'environnement informatique et surveillent-ils les communications? Les données cryptées peuvent-elles être restaurées sans l'intervention des auteurs de menace? Il est impératif de comprendre ce qu'il s'est passé pour pouvoir se servir de la feuille de route de gestion de crise.
  • Que dire à qui? Et quand? Dans l'éventualité d'une exfiltration ou d'un gel de données, qui doit-on alerter dans l'immédiat et qui peut être avisé plus tard? Quelles forces de l'ordre ou autorités réglementaires faut-il informer et quand? La police d'assurance en place requiert-elle d'aviser l'assureur?
  • Y a-t-il une demande de rançon? Si oui, pouvez/devez-vous la payer? À proprement parler, payer une demande de rançon n'est pas un acte illégal, mais les organisations doivent être vigilantes et vérifier si les auteurs de menace auxquels elles ont affaire figurent sur des listes de sanctions, ce qui peut rendre les paiements illégaux. Même s'ils ne figurent pas sur une telle liste, la fiabilité des auteurs de menace peut grandement varier : si certains sont réputés pour tenir parole, d'autres sont beaucoup moins prévisibles.
  • Quels sont les risques commerciaux et juridiques? Quelles seront les conséquences commerciales si les données demeurent cryptées ou sont divulguées? À quels risques juridiques l'organisation s'expose-t-elle si les données sont rendues publiques? De la part de qui?

Faire l'objet d'une attaque par rançongiciel est comparable à être victime d'un vol à main armée perpétré par un fantôme, aussi surréel que cela puisse sembler. Les organisations qui ont l'habitude de mettre des jours voire des semaines à prendre des décisions doivent pouvoir agir dans l'espace de quelques heures seulement. C'est en ayant une feuille de route de gestion de crise et en analysant rapidement la situation qu'une organisation peut grandement améliorer sa capacité de réaction face à une menace, peu importe comment cette dernière se manifeste.

Dans le cas de CDPR, le fabricant de jeux vidéo a décidé en moins d'une journée qu'il allait (et qu'il pouvait) refuser de payer la rançon, une décision qui a dû être difficile à prendre. Il a dû soupeser d'une part les risques de se faire voler des informations importantes et confidentielles, et d'autre part, le fait de payer la rançon pour restaurer ses systèmes et récupérer ses actifs.

Fait à souligner, les organisations victimes d'une cyberattaque n'ont pas à se défendre seules. En effet, en réponse à la hausse des incidents de cybersécurité, toute une industrie de services est née. Des consultants versés en violation de données (qui sont souvent des avocats), des enquêteurs judiciaires et des négociateurs peuvent offrir une expertise et des conseils rapides aux organisations qui en ont besoin pour traverser une crise. Par ailleurs, les forces de l'ordre et les organismes de réglementation sont souvent prêts à intervenir lorsqu'on leur demande. Bref, les ressources sont nombreuses, et les avocats, par exemple, peuvent aider les organisations à être proactives en les aidant à créer une feuille de route, à définir les risques et à faire des simulations sur papier. Ainsi, plus une organisation se prépare avant une crise, plus il lui sera facile de dire, le moment venu : « Rançon? Pas question! ».