J’assistais récemment à MAPLESEC, une conférence organisée par IT World Canada sur la cybersécurité au Canada, qui s’est déroulée sur quelques jours. Super intéressant !
À ce sujet, on apprenait cette semaine que, dans la dernière année, la majorité des entreprises canadiennes qui ont été victimes d’une cyberattaque par l’entremise d’un rançongiciel (« ransomware », en anglais) admettent avoir payé la rançon. Comme on peut l’imaginer aisément, cette tendance de payer les malfrats pour récupérer nos données ou empêcher leur dissémination s’avère très problématique. Si les victimes paient généralement, les cybercriminels sont incités par la loi du marché à poursuivre leurs activités liées aux rançongiciels – c’est tout simplement trop tentant.
Un rapport récent de l’entreprise de cybersécurité Sophos (en anglais seulement) révèle que près du tiers des sociétés interrogées auraient été victime d’une attaque de ce type au cours de la dernière année.
Avec des statistiques pareilles, pas étonnant qu’un expert en assurance entendu cette semaine à MAPLESEC nous dise que les assureurs sont actuellement en hémorragie à cause des coûts associés aux réclamations attribuables aux rançongiciels. Il semble que le coût des primes d’assurance pour assurer ce genre de risque explosera, afin de permettre aux assureurs de demeurer rentables. Le conseil de l’expert à ce sujet, d’ailleurs, était de vous munir de la meilleure couverture d’assurance que vous pouvez vous payer, dès maintenant. N’attendez pas !
Pas très étonnant non plus, dans un tel contexte, que certains États, dont les États-Unis, songent à adopter des lois qui réglementeraient le paiement des rançons liées à ce genre d’attaque. Le projet de loi américain déposé récemment (le Ransom Disclosure Act), par exemple, exigerait que les entreprises qui paient de telles rançons en divulguent les détails dans les 48 heures au département de la Sécurité intérieure. On n’est pas à interdire carrément de tels paiements, mais c’est clair qu’on commence collectivement à y penser, incapable d’endiguer ce déferlement de cyberattaques du genre.
Pas de doute, ce problème continue de nous rappeler que la négligence collective par rapport à la cybersécurité nous a menés dans un cul-de-sac, dont il faudra maintenant essayer de s’extirper en améliorant considérablement la façon dont on gère tous notre cybersécurité.