Même si les organisations peuvent penser que la meilleure stratégie lors d'une attaque de ransomware est de répondre aux demandes de l'attaquant, cela pourrait les mettre dans une situation juridiquement délicate. Une fois que le gouvernement fédéral s’impliquera, les répercussions financières seront plus importantes que la rançon elle-même. Voici ce que les entreprises devraient faire et éviter dans cette situation pour protéger leurs actifs.
La plupart des organisations paient-elles la rançon ?
Les attaques de ransomware ont un impact considérable sur tous les secteurs. Malheureusement, ils s’aggravent. Les incidents'
En fait,
Est-il illégal de payer une rançon ?
Il est techniquement illégal de payer une rançon lors d’une attaque de ransomware. Après tout, il est presque impossible de localiser l'attaquant ou de savoir pour qui il travaille – et le gouvernement désapprouve les entités américaines qui financent des groupes terroristes ou des pays sous embargo.
Pourquoi les organisations paient-elles la rançon alors que c'est illégal ? Même si beaucoup ne connaissent pas sa légalité, certains l'acceptent parce qu'ils pensent que c'est le meilleur choix. Après une analyse des coûts, ils se rendent compte que payer les amendes pourrait être moins coûteux.
Contenir une attaque de malware
Considérations juridiques relatives aux attaques de ransomwares
De nombreux mandats locaux et fédéraux concernent les cyberattaques et les ransomwares. Les personnes vivant ou faisant des affaires aux États-Unis doivent se conformer à ces exigences légales.
Voici les principales lois et considérations pour les organisations :
- Informer les parties prenantes : les organisations doivent généralement informer leurs parties prenantes d'une attaque de ransomware. Selon les lois locales, ils peuvent être amenés à faire des déclarations publiques ou à informer tous les clients.
- Payer des rançons : les gouvernements fédéral et locaux appliquent des règles strictes à ce sujet car c’est une question de sécurité – ils considèrent cela comme un financement ou un soutien.
- Notifier les forces de l’ordre : déclare l’Agence de cybersécurité et de sécurité des infrastructures (CISA)
la déclaration en temps opportun est obligatoire pour tous les incidents de ransomware. Les victimes doivent informer les agences gouvernementales américaines compétentes. - Informer les clients : les organisations doivent informer leurs clients si une attaque de ransomware a un impact sur la sécurité des données. Après tout, leur vie privée est menacée si les attaquants exposent leurs informations personnelles ou financières.
Bien que les mandats exacts de reporting varient selon l'État et le secteur, ils exigent tous que les organisations informent les organismes chargés de l'application de la loi. Même si les gens maîtrisent la situation, ils doivent quand même en informer les autorités compétentes.
Quelles sont les exigences du gouvernement fédéral ?
Bien que le gouvernement fédéral ne dispose pas de lois explicites et complètes concernant les ransomwares, il considère le paiement des rançons comme un type de transaction. En raison de cette technicité, il est illégal d’interagir avec l’attaquant – cela pourrait entraîner de lourdes sanctions. L'Office of Foreign Assets Control (OFAC) du Département du Trésor américain supervise la plupart de ces incidents.
La Loi sur les pouvoirs économiques d’urgence internationaux (IEEPA) et la Loi sur le commerce avec l’ennemi (TWEA) comportent des règles strictes contre l’engagement financier étranger. Il
Ces actes et lois ne traitent peut-être pas explicitement du paiement de rançons, mais ils couvrent les ransomwares. Les violations des sanctions entraînent généralement des sanctions civiles, ce qui signifie que les organisations doivent payer de lourdes amendes ou des règlements. Certaines personnes risquent même une peine de prison si le gouvernement estime que leurs actes sont criminels ou criminellement négligents.
Surtout, le gouvernement note que même ceux qui ne sont pas au courant de ces actes peuvent faire face à des répercussions juridiques : il peut tenir les personnes civilement responsables même si elles ne savaient pas que leurs actes étaient illégaux. Si une entreprise panique et paie la rançon dès qu’une attaque se produit, elle devra quand même répondre à l’OFAC, à la CISA et à d’autres agences.
Quelles sont les exigences des gouvernements locaux ?
Les organisations doivent garder à l’esprit que leur gouvernement local a également une position à l’égard des ransomwares : la plupart imposent des amendes et des répercussions juridiques. Chaque État et territoire américain a ses propres mandats et sanctions en matière de signalement des violations de données.
Même si les lois spécifiques à chaque État diffèrent, chacune
Alors que de nombreux États découragent le paiement de rançons – certains ont même interdit la communication avec les attaquants de ransomware – leurs amendes concernent généralement la confidentialité des données. Les forces de l'ordre locales et les entités publiques n'ont pas autant de pouvoir que le gouvernement fédéral, elles ne s'impliquent donc généralement pas dans les affaires privées des gens.
Ils peuvent toujours réagir rapidement aux violations de données et infliger des amendes s’ils en ressentent le besoin. Depuis
Pourquoi les organisations ne devraient-elles pas payer la rançon ?
Les organisations auront des problèmes juridiques si elles paient une demande de ransomware. Puisque le gouvernement fédéral considère les paiements comme un financement pour des entités criminelles, il réagira rapidement. Les amendes varient de quelques milliers de dollars à plusieurs millions, ce qui représente souvent un préjudice financier supérieur à la rançon initiale.
En plus des amendes, les forces de l'ordre pourraient confier l'affaire au ministère de la Justice. Ils peuvent également poursuivre l’organisation non conforme devant les tribunaux, où les sanctions financières et de réputation seront beaucoup plus sévères.
De plus, si le gouvernement découvre qu’une entreprise a fait tout son possible pour dissimuler le paiement d’un ransomware, il pourrait en être tenu pénalement responsable. Les sanctions pénales sont beaucoup plus sévères et, selon les cas, pourraient même entraîner une peine de prison.
Que devraient faire les organisations à la place ?
Au lieu de payer la rançon, les organisations devraient contacter les autorités compétentes. Le Strengthening American Cybersecurity Act (SAC) de 2022 stipule que toutes les organisations d'infrastructures nationales critiques doivent divulguer les attaques de ransomware à la Cybersecurity and Infrastructure Security Agency (CISA).
Cependant, la présence de CISA n'est qu'une première étape. Ils doivent également contacter le Département de la Sécurité intérieure, le département d'évaluation des sanctions et de la conformité de l'OFAC et le groupe de travail cyber du FBI. Ces agences sont constamment confrontées à des attaques de ransomware et connaissent la meilleure façon de les gérer.
Ignorer les demandes des ransomwares est la meilleure approche
La plupart des entreprises paniquent lorsqu’elles réalisent qu’un attaquant a verrouillé leurs données derrière un paywall malveillant. Pourtant, répondre à leurs demandes constitue l’une des pires approches. Même si une organisation peut recevoir des amendes pour sécurité et confidentialité une fois qu'elle s'adresse aux forces de l'ordre, elle évite d'avoir à payer des centaines de milliers de dollars pour avoir violé l'IEEPA, la TWEA ou le Strengthening American Cybersecurity Act.
