Rançonné par des hackers, l’Hollywood Presbyterian Medical Center a fini par payer pour le rétablissement de son système informatique. Il a versé 17.000 dollars en Bitcoins, une somme bien loin des 3,4 ou 3,6 milliards de dollars (selon les sources) exigés initialement par les pirates. L’établissement qui a avoué avoir versé l’argent avant de prévenir les autorités, n’explique pas comment il a obtenu cette « ristourne » particulièrement élevée. Il est égalament très discret sur la nature de l’attaque, bien que certains évoquent un simple « phishing ». Le patron de l’hôpital a justifié le paiement de la rançon en expliquant que c’était le meilleur moyen de rétablir un fonctionnement normal.

Cette demande de rançon fait suite à de multiples cyberattaques qui ont visé le secteur de la santé en 2015. Selon une étude de Privacy Rights Clearinghouse, une association californienne de défense des droits des consommateurs, il y a eu l’an dernier 59 violations reconnues de systèmes d’informations dans le secteur médical., ce qui fait de ce dernier un des plus fragiles en termes de sécurité informatique.

Mais ce dernier n’est pas le seul visé, les secteurs de la finance et des assurances (qui on été victimes de 36 agressions informatiques l’an dernier), l’industrie des jouets (Vtech, King Jouet), sans oublier chez nous les enseignes Etam, Santé Beauté, certaines mairies, GDF Suez ou encore Total, aucun secteur n’est épargné. Et lorsqu’il s’agit de demandes de rançon, bon nombre d’entreprises se disent prêtes à s’exécuter. Selon le dernier rapport de la Cloud Security Alliance, sponsorisé par Skyhigh Networks, 24,6 % des entreprises seraient ainsi disposées à payer une rançon à des hackers pour empêcher une cyberattaque et 14 % seraient même prêtes à débourser plus de 1 million de dollars. Ce qui fait réagir le directeur Europe du Sud de Skyhigh Networks, Joël Mollo. « ll est choquant de constater que tant d’entreprises sont prêtes à payer, ne serait-ce qu’un seul centime d’une rançon, et accorderaient leur confiance aux pirates pour ne pas donner suite à une attaque. Il n’y a aucune garantie de réalisation et aucun moyen de revenir en arrière une fois que le paiement est effectué sachant que le pirate peut ne pas redonner l’accès aux données ou relancer une attaque par la suite. C’est de plus un bien mauvais signal a transmettre aux pirates. Du coup, ces derniers sont de plus en plus confiants sur le fait qu’ils auront gain de cause, qu’ils peuvent exécuter leurs cyberattaques et que la plupart des entreprises préfèreront payer que de se retrouver sans système informatique.  Des exemples de sociétés qui refusent de payer, telles que Meetup.com à l’étranger ou Domino’s Pizza en 2014 ou Labio en 2015 en France, sont rares et pourtant elles sont l’exemple à suivre.”

Plutôt que de vider sa bourse, les entreprises doivent entamer une véritable sécurisation du SI, ce qui passe souvent par un audit de résistance du réseau, et mettre en place des solutions de continuité en cas d’incident. C’est souvent long et coûteux. C’est pourquoi beaucoup de sociétés préfèrent prendre des risques. Quitte à dégager leur responsabilité en cas de problème. A ce propos, le comble du cynisme vient d’être atteint par Vtech, qui s’est fait pirater les données de près de 6 millions de clients en décembre dernier. Le fabricant vient en effet de mettre à jour les “termes et conditions” qui accompagnent la vente de ses produits. On y découvre avec étonnement une clause stipulant que le fabricant de jouets technologiques ne peut être tenu pour responsable en cas de piratage des données confiées par ses clients. « Imaginez si tous les questionnaires médicaux que vous remplissez chez votre médecin comportaient un avertissement tel que « Si quelqu’un vole les informations que vous fournissez, c’est votre problème » ou si un magasin affirmait « Libre à vous d’utiliser votre carte de crédit, mais nous ne sommes pas responsables si quelqu’un arrive a voler les informations de cette dernière sur notre système”. Un particulier ou un professionnel souhaiterait-il encore traiter avec ce genre d’organisations ? », s’interroge le vice-président et directeur général Europe de Varonis, Norman Girard.