Renforcer la résilience des ransomwares — Une stratégie proactive pour les entreprises et les régulateurs

L'augmentation des attaques de rançongiciels a incité la communauté internationale à explorer une gamme d'approches pour dissuader ces attaques, y compris l'utilisation de sanctions, le développement et l'instanciation de normes régissant les cyberattaques et la promotion des meilleures pratiques en matière de cybersécurité.

Les sanctions ont été une partie importante de la boîte à outils utilisée par les agences gouvernementales pour imposer des coûts aux acteurs des ransomwares. En février 2023, les régulateurs du Royaume-Uni et l'Office of Foreign Assets Control (OFAC) du département du Trésor américain ont sanctionné sept membres du gang de cybercriminalité basé en Russie TrickBot, associé aux services de renseignement russes, pour avoir déployé des ransomwares pour cibler des infrastructures critiques dans les deux pays. En août 2022, l'OFAC a sanctionné Tornado Cash, un mélangeur de crypto-monnaie décentralisé, pour avoir prétendument facilité le blanchiment de 7 milliards de dollars en monnaie virtuelle (VC). Dans le même ordre d'idées, en septembre 2021, l'OFAC a désigné SUEX OTC, SRO (SUEX), un échange de crypto-monnaie russe, comme une entité sur la liste des ressortissants spécialement désignés et des personnes bloquées, ce qui restreint les relations des États-Unis avec certaines entités présentant des menaces pour la sécurité nationale. Parallèlement, l'OFAC a publié un avis sur les rançongiciels (avis de septembre 2021) soulignant les risques de sanctions associés aux paiements de rançongiciels dans le cadre d'activités cybernétiques malveillantes. Il a été découvert que SUEX avait déplacé des centaines de millions de dollars de crypto-monnaie provenant de sources illicites, dont plus de 160 millions de dollars provenant d'acteurs de ransomwares.

Bien que ces désignations soient importantes, une approche globale est nécessaire pour continuer à dissuader et dégrader les réseaux de ransomwares. Cette approche proactive et à large assise peut impliquer des sanctions ciblées, le partage d'informations, des partenariats public-privé et donner aux entreprises et aux particuliers les moyens de se protéger contre les attaques de ransomwares. En se concentrant sur les régulateurs étrangers qui mettent l'accent sur la conformité aux crimes financiers, cette approche pourrait superviser plus efficacement les fournisseurs de services d'actifs virtuels (VASP) dans leurs juridictions afin de réduire les risques lorsqu'ils traitent les paiements pour les acteurs des ransomwares.

I. Comprendre l'écosystème des ransomwares

Un ransomware est une forme de logiciel malveillant (malware) conçu pour bloquer l'accès aux systèmes informatiques ou aux données, souvent en cryptant des données ou des programmes. Les cyberacteurs exigent des paiements de rançon, généralement en VC, en échange d'une clé pour décrypter les fichiers et restaurer l'accès des victimes à leurs informations. Ces dernières années, l'OFAC a ciblé divers acteurs de l'écosystème des rançongiciels, notamment :

II. Avis de septembre 2021 de l'OFAC

En plus de désigner un éventail d'acteurs impliqués dans l'écosystème des rançongiciels, l'OFAC a également publié des directives de conformité pour aider les entreprises à gérer les risques liés aux transactions de rançongiciels en particulier et aux transactions de capital-risque en général. L'avis de septembre 2021 de l'OFAC note que le gouvernement américain "déconseille fortement à toutes les entreprises privées et à tous les citoyens de payer des demandes de rançon ou d'extorsion". L'avis de septembre 2021 explique qu'en vertu de la loi sur les pouvoirs économiques d'urgence internationale ou de la loi sur le commerce avec l'ennemi, les entreprises peuvent être tenues responsables d'avoir enfreint les règles de l'OFAC en payant des rançons aux personnes sanctionnées, même si elles ignoraient qu'elles le faisaient. En outre, pour éviter les violations des sanctions, l'OFAC suggère aux entreprises de mettre en œuvre un "programme de conformité basé sur les risques pour atténuer l'exposition aux violations liées aux sanctions", qui peut être complété par une formation, des sauvegardes hors ligne, des plans d'intervention et d'autres efforts pour protéger l'infrastructure technique d'une entreprise. L'OFAC souligne également l'importance d'un signalement rapide, notant qu'il considère un "rapport auto-initié et complet d'une attaque de ransomware aux forces de l'ordre" comme un facteur atténuant important dans un contexte d'application. Ces directives sont conformes aux directives plus larges de l'OFAC sur la manière dont les entreprises doivent élaborer des programmes de conformité efficaces fondés sur les risques.

***

Dans l'ensemble, la campagne de sanctions de l'OFAC reflète son engagement à lutter contre les ransomwares par le biais de sanctions ciblées et de partenariats avec d'autres agences gouvernementales et partenaires internationaux.

III. Principales considérations de conformité pour les attaques de ransomware

Pour se conformer aux réglementations de l'OFAC et atténuer les risques de sanctions face aux paiements de rançongiciels, les entreprises doivent mettre en œuvre des programmes de conformité basés sur les risques. Ces programmes sont essentiels pour éviter les pièges potentiels associés aux paiements de rançongiciels et pour maintenir une solide posture de sécurité. Les éléments clés de ces programmes peuvent inclure :

IV. Au-delà des sanctions : une stratégie complète contre les menaces de ransomwaresUne approche globale et globale est nécessaire pour lutter efficacement contre les menaces de ransomwares.

A. Opérationnalisation de l'approche

Les sanctions sont un élément important (nécessaire mais pas suffisant) d'une stratégie globale de lutte contre les ransomwares. Les régulateurs américains devraient donner la priorité à la collaboration avec leurs homologues étrangers pour mettre en œuvre des mesures de sanctions.1 En outre, l'OFAC et d'autres peuvent établir des principes de prévention en proposant une formation aux meilleures pratiques et en se concentrant sur l'éducation dans les régions vulnérables telles que l'Amérique latine, les Caraïbes et l'Europe de l'Est, en renforçant la défense mondiale contre les ransomwares et en atténuant son impact négatif sur les entreprises et les individus.

Les régulateurs américains tels que l'OFAC peuvent prendre l'initiative du développement et de la conception responsables de normes de conformité, de connaissances et d'outils pour leurs homologues internationaux afin de surveiller et de réglementer efficacement les échanges de capital-risque et les VASP à des fins de conformité aux crimes financiers. Pour dissuader davantage la facilitation par inadvertance des transactions aux acteurs du ransomware, cette approche pourrait également s'appuyer sur les enseignements tirés des efforts de financement de la lutte contre le terrorisme, qui ont mis l'accent sur une approche internationale globale impliquant des investissements et une collaboration avec des partenaires du secteur privé et d'autres parties prenantes pour prévenir les attaques avant qu'elles ne se produisent.

En supervisant les VASP et en dotant les organismes de réglementation et les entreprises étrangères de la formation et des ressources nécessaires, en mettant en œuvre des programmes de conformité basés sur les risques et en collaborant avec des tiers experts, nous pouvons créer une défense mondiale solide contre les ransomwares. L'adoption de cette approche à multiples facettes va au-delà de l'imposition de sanctions à des acteurs malveillants spécifiques : elle réduit la prévalence des ransomwares, protégeant les gouvernements et les entreprises de ses conséquences dévastatrices.