La multiplication des cyberattaques par ransomware n'est pas une fatalité. Elles sont même tellement devenues monnaie courante qu'il faut s'habituer à vivre avec. Mais comme pour la Covid-19, il existe certains moyens pour limiter les risques et avoir dans son jeu les bonnes cartes en main lorsque l'on est pris au piège. A l'occasion de la dernière Université de l'Afcdp, Christophe Caupenne, ancien inspecteur de Police Judiciaire du groupe de répression du banditisme, a donné des clés pour anticiper et réagir de la façon la plus adéquate possible lorsque l'on est amené à négocier avec les cyber-pirates. « Dès lors qu'une attaque survient dans les systèmes il faut monter une cellule de crise. Or dans l'agitation on met du temps à l'armer », prévient Christophe Caupenne. Pour éviter d'être dans cette situation délicate, mieux vaut donc d'abord bien anticiper la situation en s'exerçant à des simulations de crises cyber dans lesquelles le DSI est impliqué mais pas seulement (RSSI, DPO, métiers, direction générale...). Pour autant, la cellule de crise en tant que telle nécessite de désigner un pilote. « Ce ne sera pas forcément le dirigeant, cela peut être le DSI, le secrétaire général, le directeur général adjoint ou le responsable de la sécurité qui va endosser le rôle de chef d'orchestre », explique Christophe Caupenne. 

Lorsque l'entreprise est piégée par un ransomware, il faut aller vite mais aussi être méthodique. D'abord ouvrir un « événement ransomware » et noter l'ensemble des informations liées à l'attaque en prévision d'alimenter un dossier pour les juridictions pénales, en particulier les captures d'écran des messages des rançonneurs. Pour armer suffisamment bien la cellule de crise, l'entrainement est essentiel et prépare au pire : ne dit-on pas entrainement difficile, guerre facile ? Dans le cadre d'une attaque, il va falloir que la cellule de crise soit en mesure d'anticiper les risques et de comprendre les impacts à plus ou moins court terme (vol de données, publication d'informations confidentielles, réputation...). Quant à savoir si c'est au décideur de devenir le négociateur, cela n'a rien d'une évidence au contraire. « La cellule de crise peut prendre un négociateur professionnel du privé, en revanche la décision revient au patron ou chef de service principal ; il ne faut pas mélanger les genres car c'est lui qui va devoir assurer les risques pénaux derrière d'où la nécessite de former et d'informer en interne pour développer une culture de la sécurité informatique », poursuit Christophe Caupenne.

Montrer que l'on a agi sous la contrainte et déposer plainte

« Lorsque l'on est attaqué, il faut montrer que l'on a agi sous la contrainte, que l'on n'était pas d'accord pour payer, que l'on a été pris en otage et qu'il s'agit de vol et de détournement d'informations sous contrainte ; il faut le mentionner, car c’est ce que le tribunal va regarder, sinon on pourra se demander si vous n'êtes pas complice de ce que vous avez subi car vous avez offert trop facilement de l'argent au cyber ravisseurs », indique Christophe Caupenne. En agissant de cette façon, il sera dès lors possible de lancer une procédure et d'incriminer au pénal les cybergangs ce qui va de pair avec le dépôt de plainte. « Il faut toujours chercher le consensus avec les membres de la cellule de crise, et uniquement le compromis avec le malfaiteur », lance Christophe Caupenne.

Les groupes de cybercriminels sont de nature variée et des puissances étatiques sont loin d'être toujours aux manettes des cyberattaques par ransomware. Christophe Caupenne en identifie de trois ordres : les amateurs éclairés qui sont pour beaucoup des étudiants, des employés qui s'ennuient, des personnes qui disposent de très peu de moralité quant a la restitution des données. « Lorsque l'on a des personnes trop amateures, il ne faut pas s'amuser avec ces gens car on ne récupérera pas ces données. Avec eux, faut-il continuer de négocier ou payer ? La question est sur la table », prévient l'ancien inspecteur. Deuxième catégorie de gens : des amateurs organisés qui se sont structurés, ils sont mieux renseignés plus professionnels mais ont l'appât du gain avec une tentation quasi épidermique de récupérer l'argent à partir du moment où ils ont dépensé du temps et de l'énergie avec leurs victimes. « Ce sont des gens avec qui on va pouvoir négocier, en général ils utilisent une messagerie cryptée, il y a un interlocuteur avec qui on va pouvoir échanger », analyse Christophe Caupenne. Et puis il y a la troisième catégorie de rançonneurs : des professionnels structurés dont le chef d'accusation de bande organisée pourra être retenu pour aggraver la charge pénale. « Ces gens-là très professionnels ont monté des systèmes RaaS comme Darkside pour fournir des informations à d'autres criminels qui vont tenter leurs chances sur des entreprises grosses ou petites en exploitant leurs failles », constate Christophe Caupenne, rappelant que des cybergangs comme  Revil aka Sodinokibi ont pu amasser près de 150 M€ de fonds issus de leurs méfaits.

Les bons réflexes à adopter

1 / Cacher l'existence d'une cyber assurance

« Les groupes vont passer 11 jours en moyenne dans le système, ils ont été tout regardé, ils ont ouvert tous les tiroirs, tous les placards ce sont des gens qui ont cherché a essayer de voir tout ce qui est contrat et nom des assurances, une information liée à tel responsable sécurité, ses contacts. A partir du moment où ils ont passé du temps ils savent si vous avez ou non une assurance cyber », fait savoir Christophe Caupenne. Dès lors les cyber-ravisseurs vont tenter une approche : celle de demander à se faire « offrir » le montant de la couverture trouvé dans les contrats, par exemple 2 millions d'euros. C'est là que l'agissement sous la contrainte intervient, il ne faut donc pas tomber dans le panneau. « C'est utilisé pour échapper à une partie de leurs responsabilités pénales », poursuit l'expert. la solution ? Cacher impérativement l'existence de son assurance cyber en la sortant du périmètre du système d'information, par exemple en utilisant un bon vieux coffre-fort.

2 / Ne pas cliquer sur les notes de rançons

Les collaborateurs sont de plus en plus formés et sensibilisés aux cyber-risques ; l'une des priorités est de lutter contre le phishing mais quand cela arrive il faut apprendre à tout son effectif de ne jamais cliquer sur les instructions de rançons. Pour une raison simple, cela déclenche le compte à rebours de la négociation. « Ce compte à rebours est extrêmement réduit, les ravisseurs savent qu'en mettant pression du temps, l'entreprise va se retrouver dans une situation de dysfonctionner au niveau de la prise de décision et risque alors de payer car elle ne sait pas assez vite se réorganiser », souffle Christophe Caupenne.

3 / Déconnecter du réseau les systèmes affectés

Les collaborateurs ne le savent peut être pas, mais en cas de contagion il faut vite éteindre les systèmes infectés et surtout les déconnecter d'Internet. « Il faut aller très vite en analyse des risques, et en fonction des risques identifiés on peut savoir si on peut gagner du temps, faire de la levée de doutes sur les moyens d'attaques et si tel ou tel virus a été injecté dans nos systèmes », rappelle Christophe Caupenne. 

4 / Utiliser des outils de décryptage sur étagère

Ne pas hésiter à faire appel à des organismes spécialisés issus de services tel que la plateforme cybermalveillance.gouv.fr ou entrer en contact avec l'Anssi. « Il se peut que des patchs soient déjà disponibles, notamment dans le cas où on a à faire à des amateurs qui achètent un logiciel de cryptage sur le dark net mais ne savent pas que ces patchs existent. Dans ce cas, ce n'est donc pas la peine de s'inquiéter outre mesure », avance Christophe Caupenne.

Négocier efficacement avec les cyber-ravisseurs

En situation de risque, on peut être tenté d'adopter certains comportements partant d'un bon principe a priori mais qui se révèlent être au final plus contre-productifs qu'autre chose, voire néfastes. Par exemple celui de n'avoir qu'une idée en tête, comme préserver coûte que coûte la réputation de l'entreprise. Il faut se méfier d'un tel excès, qualifié d'effet tunnel par Christophe Caupenne qui empêche de prendre du recul par rapport à ce que l'on pense être la meilleure solution possible à envisager. Il ne s'agit pas du seul (mauvais) scénario : « On peut aussi faire du déni car la situation est tellement grave et catastrophique que l'on ne pense pas que cela puisse arriver il faut alors qu'une personne travaille en anticipation pour éveiller là-dessus. Eviter les biais de confirmation qui va consister à collecter en interne un maximum de justification pour valider que l'on est dans la bonne voie, l'effet de conformité consistant dans un groupe à ce qu'un seul pilote expert emporte systématiquement l'adhésion au sein de la cellule de crise », explique Christophe Caupenne. « Il faut être ouvert, novateur et libre de tout dire dans une cellule de crise. Il ne doit pas y avoir d'obsession à rassurer, il faut être le plus objectif et pragmatique mais attention aussi à la soumission autoritaire portée par une personne ayant un ascendant hiérarchique et empêchant la réflexion ».

1 / Rester pragmatique et ne pas perdre son calme

Rester calme et poli dans une espèce d'évidence pragmatique. Ce conseil de Christophe Caupenne vaut dans toutes les situations et à tous niveaux de la négociation. « Un rançonneur est rentré et logiquement il connait parfaitement votre système. On peut toujours lui dire que l'on n'a pas les moyens de payer et que l'on ne peut pas fournir ces sommes. On peut aussi prêcher le faux pour savoir le vrai. Ce qu'il faut surtout c'est faire preuve d'intelligence collective en pesant toutes les conséquences et la façon dont on peut rattraper la situation », prévient l'expert.

2 / Conserver un seul interlocuteur

« Il faut rester sur un seul interlocuteur qui échange avec le ravisseur, on a tous un style personnel, des mots que l'on utilise, une sémantique bien précise, des mots totem, des techniques... Il ne faut à aucun moment qu'il pense qu'il y a eu substitution le laissant penser que l'on a fait intervenir dans la boucle la police par exemple », préconise Christophe Caupenne. 

3 / Faire attention au bluff

Lorsque la décision de payer la rançon - ce qu'il faut à tout prix éviter de faire - est prise, l'entreprise ne doit pas s'engager là où le cyber-ravisseur veut aller. « Il faut aller sur un objectif commun, éveiller dans la tête du malfaiteur que l'on est le bon interlocuteur », souligne Christophe Caupenne. Vous voulez de l'argent ? Ok on va vous en donner. Vous le voulez de manière sécurisée ? Ok on va le faire de manière sécurisée. Vous ne voulez pas diffuser des informations sensibles nous concernant ? On ne le veut pas non plus. « En agissant de la sorte c'est comme si on agitait devant le cyber-ravisseur un sac rempli de billets », indique l'ancien inspecteur. « Il faut par réussir à le faire entrer dans une logique de baisse du montant demandé en prétextant par exemple que l'organisation de la société ne permet pas de réunir dans les temps cette somme, que les comptes ne le permettent pas, que nos actionnaires nous l'interdisent... Ce temps gagné va permettre de voir ce que le malfaiteur connait de nous et permettre d'affiner la notion de risque et savoir sur quoi on peut être vulnérable. Attention toutefois à ne pas mentir ou en tout cas qu'il s'en aperçoive sinon il fera tout pour obtenir le montant de la rançon souhaité et ne donnera aucune clé de déchiffrement pour vous punir ou publiera quand même les données », prévient Christophe Caupenne. Les cyber-escrocs n'aiment pas non plus se faire rouler dans la farine.