Abonnez-vous à notre
Newsletter

Cybersécurité : peut-on négocier avec un hacker ?

Cybersécurité et rançons

Lilian Laugerat
Président de Solace, Expert en gestion des risques sûreté

Alors que tous les esprits se focalisent sur la gestion de la crise sanitaire, les attaques cyber se multiplient. La plupart du temps sans faire de bruit, sauf dans les endroits où elles résonnent. Face à ces cyberattaques, chacun et chacune essaie tant bien que mal de se protéger. Pourtant, les moyens déployés lors des exercices et lors des crises réelles ne semblent pas toujours contrecarrer les modes opératoires des malveillants. Et une question est pour l’instant restée sans réelle réponse : est-il possible de négocier avec un cyberattaquant lorsque celui-ci demande une rançon ? Lilian Laugerat, président de Solace et expert en gestion de crise, nous fournit de premiers éléments de réponse.

« Cyberattaque ». Le mot fait régulièrement les gros titres, mais il convient tout de même de se mettre d’accord sur son acception. Pour faire simple, une cyberattaque est un acte de malveillance envers un dispositif informatique, ou envers les systèmes d’information (SI) et de gestion qui lui sont liés. Au-delà de cette définition, c’est l’objectif de l’attaquant qui doit nous interpeller. Et ces objectifs peuvent être variés.

Mettons-nous quelques instants à la place du cyberattaquant. Pour lui, la cyberattaque est un moyen d’exercer du chantage, d’espionner, d’entraver fortement l’activité et – in fine – d’obtenir de l’argent. Ces objectifs peuvent se cumuler. Par exemple, un hacker peut menacer de dévoiler des informations confidentielles si une rançon n’est pas payée selon un ultimatum digital.  

La cyberattaque, ou le nouveau format de l’enlèvement à l’ère digitale

À y regarder de plus près, tout cela nous ramène quelques dizaines d’années en arrière. Ces méthodes ne font que reprendre les techniques que certains connaissent déjà pour les avoir gérées. La plupart des modes opératoires utilisés par les attaquants ne sont que la parfaite réplique des techniques utilisées lors des enlèvements physiques. Seule la cible change. On s’introduit dans le réseau, on prend ou on bloque. On contacte ensuite les détenteurs des données, et on les fait chanter pour, en échange d’une contrepartie la plupart du temps sonnante et trébuchante, libérer les entraves. 

Tout ceci n’est que la réplique digitale de la forme humaine que prenait l’enlèvement. Et dans ce dernier domaine, certaines personnes et organisations avaient une solide longueur d’avance. Les méthodes développées par exemple par les FARC, utilisées au Nigeria par le MEND, et dans le Sahel par des organisations criminelles et terroristes ont largement fait leurs preuves. À l’instar des manuels de stratégie militaire, il existait de véritables recueils de méthodes et de modes opératoires, reprenant d’une part les erreurs à éviter, et d’autre part les tactiques de capture, de gestion des otages et de négociation. 

Face à ces menaces, il n’existe que deux moyens pour libérer un otage. 

  • Le premier est de le localiser, pour transformer (on parle de mutation du scénario) l’enlèvement en situation de prise d’otage et ainsi déclencher une manœuvre de libération par la force.
  • Le deuxième moyen est plus courant. Cela se nomme la négociation, la négociation de crise. Car, pour ceux qui l’auraient oublié, l’enlèvement, en raison de ses conséquences immédiates et potentielles, nécessite une posture dérogatoire. En d’autres mots, c’est une affaire de spécialistes, où les marges de manœuvre demeurent étroites. 

La cyberattaque n’est pas juste un risque technique. C’est avant tout une volonté humaine de nuire. Face à ce risque de cyberattaque, la première réponse de « libération par la force » n’est pas possible, et le hack back n’est pas légal. Seule la négociation semble possible. 

« La cyberattaque n’est pas juste un risque technique. C’est avant tout une volonté humaine de nuire. »

Un catalogue de réponses face aux cybermenaces

Avant d’en arriver là, les managers actuels des risques cherchent dans leur catalogue les moyens qui pourraient les aider à prévenir, à réagir et à gérer les conséquences des attaques potentielles.

Tout d’abord, il existe bien entendu les moyens « techniques » qui permettent de se protéger et, le cas échéant, de gérer les caractéristiques de l’attaque. Ces moyens techniques permettant de se protéger sont généralement déployés par des cabinets d’experts. Ceux-ci interviennent à la fois en amont pour prévenir le risque, ensuite, pendant les attaques (en complément ou non des agences et forces étatiques), et enfin, après les attaques, pour remettre les systèmes entravés en bon état de marche. 

En complément de ces moyens, il existe également le plan de continuité des activités, qui permet de faire face aux premières conséquences des attaques, et d’éviter, dans la mesure du possible, que celles-ci entravent les processus opérationnels et organisationnels. C’est le plan par excellence de la continuité de services des opérateurs, et en particulier en ces temps de télétravail généralisé, où les moyens de communication, quels qu’ils soient, sont d’une importance vitale.

Ces deux premières réponses entrent dans le registre du management des risques. En cas de cyberattaque avérée, affectant de manière significative les personnes, les activités et la réputation de l’entité visée, nous entrons dans le champ de la gestion d’une crise.

Répondre à la crise en cassant les silos

La réponse du manager des risques est alors généralement complétée par la thématique de la communication de crise. Tous les experts techniques sont rassemblés autour de la table, recherchant dans un premier temps les causes, vérifiant la bonne marche du plan de continuité d’activités, ou constatant déjà son décalage par rapport aux attendus. Face à cette « agression » inacceptable, les cabinets d’avocats experts en procédure pénale et en cyberattaque font leur apparition. Et enfin, les communicants reconnaissent une difficulté technique passagère, alors qu’un grand nombre de parties prenantes internes comme externes connaissent déjà la réalité.

Nous nous retrouvons donc face à une addition de management de risques qui, dans certains cas, agissent de manière éparpillée, et en silo. En d’autres mots, chacun gère son risque. Et que se passe-t-il alors quand un ultimatum est lancé avec une demande de paiement d’une rançon ?

La négociation de crise appliquée aux cyberattaques

Dans le cas d’une demande de rançon « digitale », l’élément fondamental à prendre en compte est d’intégrer que celui qui dirige l’attaque est un être humain. Nous ne pouvons certes pas négocier contre une machine, mais une nouvelle voie nous montre qu’une discipline, ignorée dans les entraînements comme dans la réalité, apporte une solution éprouvée pour gérer cette situation d’enlèvement et d’entrave numérique. Cette discipline est la négociation de crise.

La négociation de crise n’est pas à considérer comme une arme absolue. Elle n’a pas vocation à tout résoudre. Elle permet, plus que certains peuvent le croire, de comprendre qui est l’adversaire. En d’autres mots, de reconstruire son ADN. L’objectif est alors de « libérer  » les processus entravés ou les informations enlevées.

Dans le cas d’une cyberattaque, il est difficile d’imaginer que les informations enlevées puissent s’enfuir seules. Pour libérer par la force, il faut localiser l’attaquant, et cette caractéristique peut malheureusement prendre du temps. Le temps. Voici la donnée essentielle. Combien de temps peut tenir une organisation lorsque l’ensemble de ses processus est entravé ? Que risque-t-elle en cas de divulgation des informations confidentielles que l’adversaire a en sa possession ? 

À l’instar des enlèvements de personnes, le travail du négociateur vise à s’assurer de la crédibilité de l’auteur, et à mesurer le degré de confiance nécessaire à la résolution de la crise. Le négociateur de crise n’est pas un « gladiateur en costume », comme certains voudraient nous le faire croire. C’est avant tout un « guerrier pacifique », qui cherchera par tous les moyens, non pas à terrasser l’adversaire qu’il a en face de lui, mais bel et bien à résoudre la situation le plus rapidement possible, en minimisant les impacts dans le temps.

« Face à une cyberattaque, il est essentiel de dépasser l’addition des managements des risques, et de basculer dans une posture de gestion de crise. »

Vient alors la question que tout le monde se pose. Doit-on payer la rançon demandée par l’attaquant ? Et c’est une véritable équation à résoudre. Quel prix êtes-vous prêt à payer, et pendant combien de temps ? En d’autres mots, combien de temps votre entité peut-elle être entravée ? Êtes-vous prêt à accepter l’épée de Damoclès au-dessus de votre tête, et représentée par la menace de divulgation, voire de vente de vos informations confidentielles ? Êtes-vous certain qu’en cas de paiement de la rançon demandée ou négociée, vos processus et informations seront « libérés » ? 

Une grande partie des managers de ces risques vous diront de ne rien faire. Nous pouvons les comprendre, car ils se limitent à la gestion d’un risque qu’ils maîtrisent. Ne rien faire en période de crise n’est plus une option, et espérer que tout s’arrange est une tactique dont nous connaissons déjà le résultat. 

Face à une cyberattaque avérée, il est essentiel de dépasser l’addition des managements des risques, et de basculer dans une posture de gestion de crise. Celle-ci a pour objectif de fédérer les compétences utiles à la gestion des impacts et des parties prenantes. En un mot, les coordonner, pour ne faire qu’un. Mobiliser un négociateur ou une équipe de négociateurs au sein d’un dispositif est aujourd’hui à prendre en compte par les entités affectées. C’est indispensable pour faire face à ce scénario, qui se multiplie de manière importante dans le contexte actuel. Avoir un négociateur dans son équipe de gestion de crise, c’est avoir dans son jeu un atout supplémentaire pour comprendre et tenter de résoudre la situation. Il ne vous fera pas obligatoirement gagner le match qui s’est engagé contre un adversaire, et contre le temps imposé par les ultimatums. Ce serait juste dommage de le laisser sur le banc de touche ou aux vestiaires.