Tout d'abord, la réponse à la question est probablement « Oui ». Le débat sur le paiement des rançongiciels se poursuit, ce qui, bien sûr, est positif. Des discussions et des points de vue différents mis de l’avant devraient mener à une décision éclairée.
Plongeons maintenant dans la question de fond, afin de déterminer qui paie réellement la rançon. Imaginez un instant que vous vous rendiez au magasin pour acheter quelque chose pour 100 dollars. Selon l'endroit où vous vous trouvez dans le monde, la taxe de vente devra peut-être être ajoutée à la caisse et votre reçu d'achat indiquera 100 dollars pour les marchandises et peut-être 10 dollars pour la taxe de vente, soit un total de 110 dollars. L'entreprise qui vend le produit doit réaliser un bénéfice et couvrir ses coûts, qui peuvent inclure le personnel, les locaux, les assurances, le transport et les nombreux autres coûts associés à la gestion d'une entreprise.
Si une entreprise victime d'une attaque par rançongiciel décide de payer les cybercriminels pour récupérer l'accès aux systèmes ou éviter que les données soient publiées ou vendues sur le dark web, cela devient un coût d'exploitation qu’elle doit récupérer lors de la vente de ses produits ou services aux clients. Imaginez un reçu de vente indiquant les sommes versées aux cybercriminels? Produit : 100 $; Taxes : 10 $; financement de la cybercriminalité : 2.50 $. Je suppose et espère que vous contesteriez cette charge et que vous vous y opposeriez. C’est ce que je ferais en tout cas.
Les entreprises répondront probablement : « Ce n'est pas grave, notre assurance contre les cyberrisques a payé la plus grande partie de la rançon ». C'est sans doute le cas, mais l'entreprise devait payer la compagnie d'assurance qui se base sur la probabilité du risque pour fixer la prime. Si elle assure 10 entreprises et qu'une sur 10 est victime d'un rançongiciels, le reçu des 10 entreprises devrait peut-être faire apparaître la transaction de 100 dollars, 10 dollars de taxe sur les ventes, plus un don de 0,25 dollar aux cybercriminels, payés par l'intermédiaire des assureurs de l'entreprise. L'argent pour payer la rançon vient finalement de vous, le consommateur.
LECTURE COMPLÉMENTAIRE : Attaque d’un rançongiciel : devriez‑vous payer?
Selon un article paru dans The Hill, Bryan Vorndran, directeur adjoint de la division cybernétique du FBI, a déclaré, en réponse à une question posée par la sénatrice Mazie Hirono, que « nous pensons qu'interdire le paiement de cyberrançons n'est pas la voie à suivre ». En effet, le fait de ne pas interdire le paiement des rançongiciels pourrait entraîner une extorsion supplémentaire, les entreprises ne divulguant pas les incidents aux autorités. La conclusion de la discussion au sein de la commission judiciaire du Sénat semble suggérer des exigences de déclaration plus strictes, plutôt que l'interdiction des paiements.
On pourrait considérer que cela va à l'encontre des exigences actuelles qui interdisent le versement de fonds aux cybercriminels figurant sur la liste des sanctions de l'OFAC. Étant donné que certains groupes de rançongiciels ou les individus qui les soutiennent figurent sur la liste des sanctions, cela signifie-t-il que les entreprises qui versent une rançon à ces groupes ou individus s'exposent à une double extorsion en essayant de dissimuler le paiement?
De nombreuses questions se posent, mais une chose reste sûre : le débat sur le paiement ou non des rançongiciels est loin d'être clos. Et nous, les consommateurs, allons probablement assister à une augmentation du coût des produits et des services afin que les entreprises puissent continuer à payer les extorqueurs à l'origine des rançongiciels, soit directement, soit par le biais des assurances.
Je vous laisse sur cette déclaration de Margaret Thatcher, prononcée le 14 octobre 1988 : « Si vous cédez à un terroriste, vous engendrerez davantage de terrorisme. »
