La demande de rançon des pirates informatiques peut plonger une entreprise dans le chaos total – « Dans le pire des cas »

La société finlandaise KWH Freeze est ciblée par une attaque de ransomware utilisant un malware d’extorsion. Les pirates menacent de publier les informations qu’ils ont obtenues auprès de l’entreprise le 27 novembre si leur demande de rançon n’est pas satisfaite.

KWH Freeze est le plus grand acteur finlandais dans le domaine du stockage de produits surgelés.

Le PDG de l’entreprise Peter Lang a confirmé l’attaque, mais n’a pas voulu commenter, par exemple, la demande de rançon des pirates.

– Nos opérations sont stables, a-t-il déclaré jeudi à Iltalehte.

Délégué à la protection des données Anu Talus dit à Iltalehti que l’affaire a également été portée à l’attention du ministère de la Justice.

– Nous en avons effectivement été informés, confirme le commissaire à la protection des données.

« Les grandes catastrophes arrivent moins souvent »

Dans son rapport hebdomadaire, le centre de cybersécurité de l’agence finlandaise des transports et des communications Traficom s’est attaqué aux attaques de ransomware menées avec des logiciels malveillants d’extorsion.

Selon le Centre de cybersécurité, environ 40 cas de chantage en moyenne par an ont été signalés en Finlande entre 2020 et 2022. Ce chiffre inclut à la fois les grandes entreprises multinationales et les particuliers.

– Le début de l’année 2023 a montré une tendance similaire, mais une augmentation modérée du nombre de notifications a été observée au cours du mois de novembre, indique la revue hebdomadaire.

Expert en sécurité de l’information du Cybersecurity Center Matías Mesia Iltalehte raconte qu’il y a eu une légère augmentation, notamment dans les cas les plus graves.

– De telles catastrophes de grande ampleur, qui touchent de vastes étendues, se produisent cependant moins souvent, explique Mesiä.

– Les organisations finlandaises font généralement un très bon travail pour s’en protéger, mais cela arrive aussi ici. Mais selon nos statistiques, c’est relativement peu par rapport au reste du monde, dit Mesiä et il touche du bois.

L’histoire continue sous l’image.

Vous devrez peut-être négocier avec des extorsionnistes

Les attaques de ransomware sont généralement révélées depuis l’ordinateur ou le serveur d’une entreprise. À ce stade, le logiciel malveillant traîne peut-être dans les systèmes de l’organisation depuis des mois, attendant le bon moment pour s’activer.

– D’abord, nous sommes surpris lorsque les systèmes ne fonctionnent plus du tout, puis nous remarquons qu’il y a un tel message ici. Il peut s’agir, par exemple, d’un fichier ou d’une notification qui apparaît directement à l’écran, vous indiquant que les données sont désormais cryptées et que des bitcoins sont nécessaires, décrit Mesiä.

En règle générale, vous ne devez pas accepter les demandes de rançon des pirates informatiques qui ont détourné ou caché des informations sur l’entreprise.

– Oui, la consigne générale est de toujours ne pas payer. C’est assez clair. En payant, vous soutenez le crime, explique Mesiä.

Cependant, Mesia reconnaît les situations où les choses ne sont pas nécessairement aussi unilatérales. Cela peut être le cas, par exemple, si l’entreprise est mal préparée à de telles attaques.

– Dans certains cas, heureusement plus rares, la situation peut être si grave qu’absolument toutes les données de l’organisation sont cryptées, explique Mesiä.

Même dans une telle situation, il est possible de restaurer les données à partir de la sauvegarde.

– Mais même si ces sauvegardes sont cryptées ou n’existent pas, l’organisation devra alors peut-être réfléchir à une éventuelle négociation, voire à un paiement, explique Mesiä.

« Le pire scénario possible »

Selon Mesiä, une attaque de ransomware peut, dans le pire des cas, paralyser complètement le fonctionnement même d’une grande entreprise.

– Par exemple, dans l’industrie, si les systèmes de production de l’usine sont cryptés [salataan]alors les employés ne peuvent peut-être rien faire, mais la production est complètement à l’arrêt.

Selon Mesiä, cette situation est tout à fait possible si le malware peut se propager efficacement au sein de l’entreprise. Dans une telle situation, les sauvegardes jouent un rôle extrêmement important.

– Par exemple, les usines ne disposent pas nécessairement toujours des équipements ou des systèmes les plus récents. Par exemple, des Windows légèrement plus anciens et d’autres éléments peuvent y être utilisés, et la configuration de tels environnements n’est pas si simple.

– C’est un endroit difficile quand on arrive au travail et qu’on remarque qu’il y a des messages de chantage sur les écrans, que l’équipement ne fonctionne pas, que l’usine ne fonctionne pas, que les vendeurs ne peuvent pas vendre et qu’on ne peut pas accéder aux commandes. C’est à peu près le cœur des ransomwares.

Selon Mesiä, dans une telle situation, toute l’entreprise est très vite confuse.

– La direction fait un signe de la main en direction du service informatique et le service communication doit communiquer. Vous devriez également pouvoir le dire aux clients, mais le serveur de messagerie est également crypté. C’est le pire scénario possible, déclare Mesia.

– On peut calculer directement en argent combien ça coûte d’être la cible d’une telle attaque, poursuit-il.

L’histoire continue sous l’image.

La communication est la clé

Selon Mesiä, il est de la plus haute importance que les organisations sachent quels types de données ou quels systèmes sont vitaux pour leurs opérations.

– Qu’il s’agisse d’un système de production ou de données importantes ou autre, il faut qu’elles soient très bien identifiées et protégées.

En outre, Mesiä exhorte les entreprises à se préparer à l’avance aux situations de crise liées à la sécurité de l’information et même à pratiquer des opérations en plein milieu d’une attaque. Parfois, les entreprises ont du mal à faire face à la situation, de manière totalement inutile, en raison d’une communication médiocre, voire inexistante.

– Les entreprises communiquent dans ces situations de manières très différentes. Il est vraiment important de réfléchir à la manière de procéder en cas de crise. Cependant, il n’existe pas de solution unique.

Selon Mesiä, certaines entreprises pourraient organiser une session de formation complète, par exemple pour les autorités qui ont pris connaissance de l’incident et tentent d’offrir leur aide pour résoudre la situation.

– C’est une situation vraiment difficile si, en tant qu’autorité, nous essayons d’aider et de demander des informations supplémentaires à nos contacts internationaux, et que nous n’obtenons aucune information de l’intérieur de l’organisation. Nous ne pouvons alors vraiment rien faire.

– L’aspect communication joue un rôle très important dans la situation lorsque le « cyber » fait son apparition, partage Mesiä.

À quelle fréquence les rançons sont-elles payées ?

Chaque année, le Centre de Cybersécurité ne reçoit que des notifications individuelles de cas où des rançons auraient été payées.

– Certains d’entre eux ne retiendront certainement jamais notre attention, dit Mesiä.

Même si la demande de rançon a déjà été acceptée, Mesia exhorte les entreprises à signaler le cas au commissaire à la protection des données.

– Cela doit toujours être fait s’il existe le moindre doute sur la possibilité d’une fuite de données personnelles.

Ne faites pas confiance à un criminel

Cependant, le paiement de la rançon ne garantit pas automatiquement que les données seront divulguées et que la menace sera écartée.

– Lorsqu’on coopère avec des criminels, on n’est jamais sûr à 100 %, dit Mesiä.

Par exemple, on peut essayer d’extorquer plus d’argent à une entreprise qui accepte les exigences.

– Ou bien vous risquez de retomber dans les griffes d’un ransomware, prévient-il.