CYBERSECURITEExperiencesLes dernières actualités de la tech

Profession: négociateur de cyber-rançons

Par James PHEBY / AFP

Lorsque des cybercriminels s’en prennent à une entreprise, menacent de divulguer ses données sensibles ou de faire chuter son cours en Bourse, il existe une solution: faire appel à des négociateurs spécialistes des demandes de rançon.

Ces médiateurs d’un nouveau genre, qui ont souvent fait carrière au sein de la police ou du renseignement, sont de plus en plus nombreux à intervenir dans le monde virtuel.

Nous n'avons pas pu confirmer votre inscription.
Votre inscription est confirmée.

La newsletter hebdo

Recevez chaque lundi l'actualité de notre écosystème

Mardi, l’un des principaux groupes de cybercriminels LockBit, présenté comme « le plus nuisible » au monde et ayant extorqué des dizaines de millions de dollars, a été démantelé lors d’une opération de police internationale impliquant entre autres le Royaume-Uni, la France ou les Etats-Unis.

Parmi ses milliers de victimes figuraient des hôpitaux, des mairies, des établissements scolaires et de grandes entreprises.

Lors d’attaques telles que celles menées par LockBit, des groupes criminels – parfois soutenus par des États – parviennent à pirater des réseaux informatiques et exigent un paiement pour déverrouiller le système ou empêcher la divulgation de données ultra secrètes.

« Ce n’est pas le Far West: il existe un véritable marché, une énorme économie du rançongiciel », explique à l’AFP Ram Elboim, PDG de la société de cybersécurité basée aux Etats-Unis Sygnia, lors d’une visite à Londres.

Son rôle est de répondre aux demandes désespérées d’entreprises attaquées – qui figurent souvent dans le classement Fortune 500 des plus grosses compagnies américaines – en montant une équipe qui se rend sur place pour faire face aux criminels.

Au coeur de cette équipe se trouvent des négociateurs qui s’appuient sur leur expérience face aux criminels du monde « réel » pour servir d’intermédiaires, et tenter de déjouer l’attaque ou de s’entendre avec les pirates sur un prix une fois toutes les autres options épuisées.

« En général, nous recevons un appel le week-end ou au milieu de la nuit. C’est le moment où les organisations relâchent leur vigilance », relate M. Elboim.

 

– Gagner du temps –

 

Il faut alors tenter d’identifier la nature de l’attaque, puis comment les hackers se sont introduit dans le réseau, quels systèmes sont tombés en panne, et comment contenir la propagation et éventuellement récupérer les données perdues.

« Ensuite, il faut négocier », dès que possible, souligne M. Elboim, ancien membre de l’unité de renseignement militaire israélienne connue sous le nom de « 8200 ». « Car même s’il n’a pas un pistolet sur votre tempe, il s’agit bien d’un criminel qui menace votre entreprise ».

En général, les agresseurs laissent 72H aux victimes pour payer. « L’objectif de la négociation est d’avoir plus de temps ».

Les négociateurs, en effet, tentent d’extirper un maximum d’informations à ces cybercriminels. Ils établissent pour cela un canal de communication avec eux, au travers d’une application de messagerie ou courriel électronique, pour tenter de comprendre ce qu’ils recherchent, et si l’attaque peut être attribuée à un groupe spécifique.

Dans le meilleur des cas, « nous faisons durer les négociations » suffisamment longtemps pour glaner assez d’informations, « expulser » les criminels et récupérer les données.

Dans le pire scénario, quand le système informatique semble perdu et que des données cruciales sont sur le point d’être divulguées, les entreprises doivent alors décider – ou non – de payer.

« Certaines refusent par principe. D’autres sont prêtes à payer, mais veulent faire baisser le prix », ce à quoi s’attèlent alors les négociateurs.

Même si la société paye la rançon et que son réseau est à nouveau accessible, difficile de crier victoire car débute alors un long processus de rétablissement.

Mais la satisfaction de réussir une mission reste considérable, souligne Ram Elboim.

« Nous avons un jour travaillé sur une attaque menée contre une multinationale, qui était totalement à l’arrêt », se souvient-il.   Après avoir repoussé les assaillants, « l’un des gardiens à l’entrée nous a dit: +Merci d’avoir sauvé mon travail+ (…) C’est l’un des moments les plus gratifiants que l’on puisse vivre ».

Suivez nous:
Découvrez WE, le nouveau media d'intelligence économique consacré à l'innovation en europe. Retrouvez les informations de plus de 4500 startups et 600 fonds d'investissements Pour en savoir plus, cliquez ici
Bouton retour en haut de la page
Share This