Éthique des ransomwares : payer ou ne pas payer ?

Les cyberattaques mettent toutes les organisations au défi. Les attaques de ransomware restent une menace majeure, avec 60 % des organisations interrogées signalant une interruption de leurs activités au cours des 12 derniers mois en raison d’un ransomware, selon l’IDC. Que nous disent quatre enquêtes récurrentes sur les tendances des incidents de ransomware ?

Alors que les criminels sont devenus plus sophistiqués dans leurs attaques, les organisations doivent être mieux préparées dans leur réponse. Tout DSI ou RSSI confronté à une attaque de ransomware sera confronté au défi de répondre à l’urgence du moment. Une question clé sera la suivante : devons-nous payer la rançon ou non ? Cela peut être un dilemme éthique car, d’un côté, l’organisation souhaite simplement se remettre en ligne et reprendre ses activités le plus rapidement possible en payant la rançon, et d’un autre côté, payer des criminels anonymes avec une chance minimale de protéger vos données semble être une solution. capitulation inutile. Voici un cadre en cinq étapes pour résoudre ce dilemme éthique.

Cinq étapes pour répondre de manière éthique à une attaque de ransomware

Respecter les lois applicables sur la confidentialité des données

Tout d’abord, vous devez connaître et respecter les lois sur la confidentialité des données, qui dépendront de l’endroit où votre organisation opère et de l’endroit où l’attaque a eu lieu. Par exemple, les structures juridiques plus strictes en matière de confidentialité des données personnelles en Europe (RGPD) et en Californie (CCPA) nécessiteront plus d’attention. Tous les pays et la plupart des États disposent d’un ensemble de réglementations qui doivent être respectées en cas de violation de la confidentialité des données, et la plupart de ces réglementations sont constamment mises à jour. Votre connaissance des exigences légales doit être à jour ; il sera trop tard pour apprendre lors de l’attaque et de la récupération.

Obtenez des conseils professionnels

Deuxièmement, vous devez obtenir des conseils professionnels sur plusieurs fronts. Cela comprend des conseils juridiques concernant les lois et réglementations applicables ainsi que des conseils des services de police appropriés pour répondre à ce crime. Bien que les paiements de rançons ne soient pas illégaux, les paiements à des organisations sanctionnées par les gouvernements, comme les groupes terroristes, le sont. Vous aurez besoin du soutien de professionnels dans les négociations, souvent fourni par le biais de polices de cyberassurance. Bien entendu, des conseils en matière de communication au sein et à l’extérieur de votre organisation seront nécessaires. Enfin, des conseils techniques sur la manière ou la possibilité de réparer les dommages causés par l’attaque seront importants. Vous devriez toujours avoir une liste de conseillers prête et à jour.

Considérez les implications du paiement d’une rançon

Troisièmement, vous devez comprendre à la fois les problèmes moraux liés au paiement de rançons (qui peuvent être considérés comme un financement d’activités criminelles) et comment cela s’alignera sur votre code de conduite d’entreprise et professionnel. Le paiement d’une rançon peut accélérer la récupération des systèmes d’information critiques afin que l’entreprise puisse reprendre rapidement ses activités, mais peut également s’avérer extrêmement coûteux. Si l’attaque menace le fonctionnement continu de l’organisation, il n’y a peut-être que peu d’alternatives. Les conseillers doivent fournir des informations sur la probabilité de récupérer les informations même si la rançon est payée. Une étude d’IDC a révélé que 52 % des organisations paient la rançon en cas d’attaque (Ransomware 2024 : Si nous avons des sauvegardes, pourquoi payons-nous toujours une rançon ?). Toutefois, parmi les organisations qui ont payé, environ un quart n’ont pas complètement récupéré leurs données cryptées (Ransomware 2024 par marché vertical : payer la rançon ne garantit pas que vous reverrez vos données).

Comprendre comment les parties prenantes seront impactées

Quatrièmement, vous devez tenir compte de toutes les parties prenantes qui seront affectées par la décision que vous vous apprêtez à prendre. Pour les organisations publiques telles qu’une école, un hôpital ou une bibliothèque, les rançons payées impliquent que les fonds destinés à la mission de l’organisation seront diminués et que ceux qui dépendent de cette organisation verront un service ou une capacité moindre. D’un autre côté, les actionnaires et les propriétaires qui voient la valeur de l’organisation diminuer pendant qu’elle répond à l’attaque s’attendront à une réponse rapide et à une reprise des activités d’une manière rentable. Les travailleurs qui restent inactifs pendant l’attaque seront préoccupés par leurs revenus et leur emploi. Qui sont les principales parties prenantes et comment allez-vous répondre à leurs préoccupations ?

Recommander un plan d’action au PDG et au conseil d’administration

Cinquième et dernier point, vous ne devriez jamais décider seul. Dans de nombreuses organisations, cette décision sera prise au niveau de la direction (par exemple, le PDG) ou du conseil d’administration. Votre rôle en tant que responsable informatique sera de recueillir des informations précises et opportunes, d’intégrer les conseils de professionnels et de recommander un plan d’action avec un niveau de risque associé. Vos propres normes éthiques et morales personnelles seront mises à l’épreuve ; la décision peut vous être attachée, alors soyez prêt à défendre votre recommandation.

Attendez-vous à une attaque ; être prêt

Aucun DSI ou RSSI n’apprécie une attaque de ransomware. Aucun DSI ou RSSI ne devrait s’attendre à rester insensible à cette menace mondiale ; il faut donc être préparé. Lorsque vous répondez avec « tout le monde sur le pont », il sera trop tard pour définir une réponse aux ransomwares qui sera à la fois pragmatique et éthique.

En savoir plus sur Recherche d’IDC pour les leaders technologiques.

International Data Corporation (IDC) est le premier fournisseur mondial d’informations commerciales, de services de conseil et d’événements pour les marchés technologiques. IDC est une filiale en propriété exclusive d’International Data Group (IDG Inc.), le leader mondial des services de médias technologiques, de données et de marketing. Récemment élu cabinet d’analystes de l’année pour la troisième fois consécutive, les solutions technologiques leaders d’IDC vous fournissent des conseils d’experts soutenus par nos services de recherche et de conseil de pointe, de solides programmes de leadership et de développement et les meilleures données d’analyse comparative et d’approvisionnement. auprès des conseillers les plus expérimentés de l’industrie. Contactez-nous dès aujourd’hui pour en savoir plus.

Dr Ron Babinconseiller de recherche adjoint pour IDC, est consultant en gestion senior et professeur spécialisé dans les questions d’externalisation et de gestion informatique (ITM). Le Dr Babin est professeur de gestion informatique à la Ted Rogers School of Management de l’Université Ryerson à Toronto, ainsi que directeur de la formation des entreprises et des cadres.

Babin possède une vaste expérience en tant que consultant en gestion senior dans deux sociétés de conseil mondiales. En tant qu’associé chez Accenture, et avant cela chez KPMG, il était responsable des pratiques de gestion et de stratégie informatiques à Toronto. Chez KPMG, il était membre du groupe de conseil Nolan Norton. Ses activités de conseil visent à aider les dirigeants des clients à améliorer la valeur commerciale apportée par l’informatique au sein de leurs organisations. Au cours de ses plus de 20 années d’expérience en tant que consultant en gestion, Babin a travaillé avec des dizaines de clients dans la plupart des secteurs industriels, principalement en Amérique du Nord et en Europe. Actuellement, les recherches de Babin se concentrent sur l’externalisation, avec une attention particulière à la relation fournisseur/client et à la responsabilité sociale. Il a écrit plusieurs articles et un livre sur ces sujets.