Les attaques par ransomware sont devenues un problème majeur pour les organisations du monde entier, ayant un impact sur les finances, les opérations et la réputation. L'article "The Most Impactful Ransomware Attacks in 2023 and Their Business Implications" de Fabian M. Teichmann et Sonia R. Boticiu explore les graves conséquences des attaques par ransomware en 2023, telles que celles concernant Royal Mail, Minneapolis Public Schools, Capita, la ville de Dallas et le service de transfert de fichiers MOVEit. Il souligne l'importance de comprendre les ramifications juridiques de telles attaques, les coûts directs et indirects de ces attaques, tels que le temps d'arrêt des activités, les risques pour la réputation, les paiements de rançons et les répercussions juridiques.
Le ransomware est une méthode de cyberattaque qui consiste à crypter les données de la victime, puis à demander une rançon pour obtenir la clé de décryptage. La fréquence et la gravité de ces attaques ont augmenté, ce qui a eu un impact considérable sur la stabilité financière, les opérations et la réputation des entreprises. L'avènement du Ransomware as a Service (RaaS) a encore aggravé la situation, permettant même à des cybercriminels peu qualifiés de lancer des attaques sophistiquées. Voici quelques exemples d'organisations victimes de ces attaques :
Attaque par ransomware de Royal Mail : En janvier 2023, Royal Mail a été victime d'une attaque de ransomware par le gang LockBit, qui a gravement perturbé les services internationaux. Les attaquants ont demandé une rançon de 80 millions de dollars, que Royal Mail a refusé de payer, ce qui a conduit à la publication de transcriptions de négociations sensibles par les attaquants. Cet incident met en évidence les implications juridiques du traitement des demandes de rançon et la nécessité de prendre des mesures de cybersécurité solides pour protéger les données sensibles et maintenir la continuité des activités.
Attaque des écoles publiques de Minneapolis (MPS) : MPS a subi une attaque de ransomware en février 2023, ce qui a conduit à l'exposition de données sensibles d'étudiants sur le Dark Web. Le groupe de ransomware Medusa a demandé une rançon d'un million de dollars, que le district scolaire a refusé de payer, ce qui a entraîné la divulgation d'informations très sensibles. Cette affaire met en évidence les dilemmes juridiques et éthiques liés à la négociation avec les cybercriminels, ainsi que la nécessité de se conformer aux recommandations des autorités fédérales chargées de l'application de la loi.
Cyber-attaque de Capita : Le gang du ransomware Black Basta a ciblé Capita, un important fournisseur de services informatiques, en mars 2023. L'attaque a compromis des données sensibles et affecté environ 90 organisations, coûtant à Capita entre 15 et 20 millions de livres sterling. Cet incident soulève des inquiétudes quant aux responsabilités juridiques des prestataires de services en matière de protection des données des clients et au risque de dommages financiers et d'atteinte à la réputation.
Attaque de la ville de Dallas : En mai 2023, le groupe Royal ransomware a attaqué Dallas, exposant les données personnelles de plus de 30 000 personnes. La ville a réagi en isolant les systèmes touchés et en rétablissant les services sur plusieurs semaines, pour un coût de rétablissement estimé à 8,5 millions de dollars. Cette attaque souligne l'importance de la préparation des municipalités aux cyberattaques et les répercussions juridiques potentielles des violations de données affectant les services publics.
Attaque du ransomware MOVEit : Le gang du ransomware CLOP a exploité une vulnérabilité dans le service de transfert de fichiers de MOVEit en mai 2023, affectant plus de 1 150 organisations et près de 56 millions de personnes. Cette attaque a démontré la nécessité de mettre en place des pratiques de cybersécurité solides et les conséquences juridiques d'une protection insuffisante des données sensibles.
Coûts d'arrêt : Les attaques de ransomware obligent souvent les entreprises à interrompre leurs activités, ce qui entraîne des pertes de revenus importantes et des coûts supplémentaires pour la récupération et la reconstruction des systèmes. En 2022, la durée moyenne des interruptions de service était de 24 jours, ce qui met en évidence l'impact opérationnel considérable de ces attaques.
Atteinte à la réputation : L'atteinte à la réputation d'une entreprise à la suite d'une attaque par ransomware peut être considérable et nécessite souvent des efforts considérables de repositionnement de l'image de marque pour regagner la confiance des clients. Des cas très médiatisés, comme ceux d'Uber et de Target, illustrent l'impact à long terme sur la perception des consommateurs et la viabilité de l'entreprise.
Coût des rançons : Les demandes financières des gangs de ransomware sont souvent basées sur le chiffre d'affaires annuel de la victime, les paiements moyens augmentant de manière significative. Par exemple, le montant moyen des rançons payées en 2023 était de 1,54 million de dollars, ce qui témoigne de la charge financière croissante qui pèse sur les entreprises.
Coûts de récupération : Au-delà de la rançon, les coûts de récupération après une attaque par ransomware, y compris l'embauche d'experts et la mise en œuvre de nouvelles mesures de sécurité, sont considérables. Les organisations qui utilisent des sauvegardes pour la récupération ont encouru des coûts moins élevés que celles qui paient des rançons.
Poursuites judiciaires : Les violations de données résultant d'attaques par ransomware peuvent avoir des conséquences juridiques et réglementaires importantes. Les organisations doivent tenir compte du coût des actions en justice, des règlements et des amendes potentielles, comme l'illustrent les cas de Target et de Home Depot.
Assurance cybernétique : La cyber-assurance offre une certaine protection contre l'impact financier des attaques par ransomware. Toutefois, l'augmentation des demandes d'indemnisation a entraîné une hausse des primes et un durcissement des conditions de couverture, ce qui oblige les organisations à bien comprendre leurs polices d'assurance.
Pour en savoir plus sur ce sujet, voir International Cybersecurity Law Review, 10.04.2024 (Fabian M. Teichmann & Sonia R. Boticiu). https://link.springer.com/article/10.1365/s43439-024-00115-3.