Payer ou ne pas payer ? Le dilemme face aux ransomwares
Points clés
- La Caroline du Nord est le premier État américain à interdire aux entités publiques de payer des rançons suite à des attaques de ransomware.
- Cette loi, adoptée en avril 2022, interdit aux agences gouvernementales et aux collectivités locales de verser une rançon aux pirates qui ont crypté leurs systèmes informatiques.
- Elle leur interdit même de communiquer avec les attaquants et les oblige à signaler l'attaque au Département des technologies de l'information de l'État.
- Cette loi fait suite à une augmentation des attaques de ransomware visant les gouvernements locaux et étatiques.
- D'autres États comme la Pennsylvanie et New York envisagent d'adopter des lois similaires.
La Caroline du Nord, pionnière dans la lutte contre le ransomware
Vous vous souvenez de cette terrible attaque de ransomware qui a paralysé les services de la ville de Baltimore en 2019 ? Ou de celle qui a frappé l'hôpital universitaire du Nouveau-Mexique en 2021, mettant en danger des vies humaines ? Ces incidents illustrent la menace grandissante que représentent les attaques de ransomware pour les infrastructures critiques.
Face à cette menace, la Caroline du Nord a décidé de passer à l'action. Cet État est devenu le premier aux États-Unis à interdire formellement aux entités publiques de payer des rançons aux pirates informatiques.
Une loi ferme pour contrer une menace croissante
Cette nouvelle loi, intégrée dans le budget de l'État, interdit aux agences gouvernementales et aux collectivités locales de verser la moindre rançon aux attaquants qui auraient crypté leurs systèmes informatiques. Voici les principales dispositions de ce texte révolutionnaire :
- Interdiction de payer une rançon pour décrypter les données
- Interdiction de communiquer avec les attaquants
- Obligation de signaler l'attaque au Département des technologies de l'information
Cette loi s'applique à toutes les branches du gouvernement de l'État (exécutif, judiciaire, législatif), ainsi qu'à l'Université de Caroline du Nord et aux autres entités placées sous la tutelle de l'État.
| Entités concernées | Exemples |
|---|---|
| Exécutif | Agences, départements, commissions |
| Judiciaire | Tribunaux, bureaux des procureurs |
| Législatif | Assemblée générale, comités |
| Éducation | Université de Caroline du Nord, écoles publiques |
Bien que non contraignante pour le secteur privé, la loi encourage fortement les entreprises à signaler les cyberattaques au gouvernement.
Une décision motivée par la recrudescence des attaques
Cette loi intervient dans un contexte d'augmentation fulgurante des attaques de ransomware visant les infrastructures publiques aux États-Unis.
À peine quelques jours après l'adoption de la loi, l'Université A&T de Caroline du Nord a d'ailleurs été frappée par un ransomware qui a perturbé ses connexions sans fil et ses outils pédagogiques en ligne.
Face à cette menace grandissante, d'autres États comme la Pennsylvanie et New York envisagent d'adopter des lois similaires pour protéger leurs infrastructures critiques.
Une décision controversée
Si cette loi a été saluée par de nombreux experts en cybersécurité, elle soulève également des interrogations. Certains craignent qu'en interdisant tout paiement, elle n'encourage les attaquants à adopter des tactiques encore plus destructrices.
D'autres remettent en cause l'interdiction de communiquer avec les pirates. Sans négociation possible, comment s'assurer que les données ne seront pas vendues ou divulguées ?
Enfin, la question du coût se pose. Reconstruire des systèmes informatiques à partir de zéro pourrait s'avérer extrêmement onéreux pour les collectivités locales aux budgets serrés.
Vers une nouvelle norme de cybersécurité ?
Malgré ces interrogations, l'initiative pionnière de la Caroline du Nord pourrait bien marquer un tournant dans la lutte contre le ransomware. En envoyant un signal fort, cet État espère dissuader les attaquants de viser les infrastructures publiques à l'avenir.
Si d'autres États emboîtent le pas, le refus catégorique de payer pourrait devenir la nouvelle norme en matière de cybersécurité pour le secteur public. Une norme qui, à terme, pourrait même s'étendre au secteur privé.
Quoi qu'il en soit, cette loi aura au moins le mérite d'ouvrir un débat essentiel sur la meilleure façon de contrer cette menace grandissante pour nos sociétés numériques.
Une approche globale est nécessaire
Au-delà de l'interdiction des rançons, les experts s'accordent sur la nécessité d'adopter une approche globale pour lutter efficacement contre le ransomware :
- Renforcer la cybersécurité et la résilience des systèmes
- Former le personnel aux bonnes pratiques
- Mettre en place des plans de réponse aux incidents
- Coopérer avec les forces de l'ordre pour traquer les attaquants
- Sensibiliser le grand public aux dangers du ransomware
Seule une stratégie multidimensionnelle permettra de venir à bout de ce fléau du 21ème siècle.
Conclusion
En adoptant cette loi, la Caroline du Nord marque un tournant dans la lutte contre le ransomware. En interdisant formellement aux entités publiques de payer des rançons, cet État envoie un message fort aux cybercriminels.
Si cette décision soulève des interrogations légitimes, elle aura au moins le mérite d'ouvrir un débat essentiel sur les meilleures stratégies à adopter face à cette menace grandissante.
Car au final, c'est en adoptant une approche globale, alliant prévention, résilience, répression et sensibilisation, que nous parviendrons à endiguer ce fléau du ransomware. Une lutte de tous les instants pour protéger nos sociétés à l'ère du numérique.
