Même si les organisations peuvent penser que la meilleure stratégie lors d'une attaque de ransomware est de répondre aux demandes de l'attaquant, cela pourrait les mettre dans une situation juridiquement délicate. Une fois que le gouvernement fédéral s’impliquera, les répercussions financières seront plus importantes que la rançon elle-même. Voici ce que les entreprises devraient faire et éviter dans cette situation pour protéger leurs actifs.
Les attaques de ransomware ont un impact considérable sur tous les secteurs. Malheureusement, ils s’aggravent. Les incidents'
En fait,
Il est techniquement illégal de payer une rançon lors d’une attaque de ransomware. Après tout, il est presque impossible de localiser l'attaquant ou de savoir pour qui il travaille – et le gouvernement désapprouve les entités américaines qui financent des groupes terroristes ou des pays sous embargo.
Pourquoi les organisations paient-elles la rançon alors que c'est illégal ? Même si beaucoup ne connaissent pas sa légalité, certains l'acceptent parce qu'ils pensent que c'est le meilleur choix. Après une analyse des coûts, ils se rendent compte que payer les amendes pourrait être moins coûteux.
Contenir une attaque de malware
De nombreux mandats locaux et fédéraux concernent les cyberattaques et les ransomwares. Les personnes vivant ou faisant des affaires aux États-Unis doivent se conformer à ces exigences légales.
Voici les principales lois et considérations pour les organisations :
Bien que les mandats exacts de reporting varient selon l'État et le secteur, ils exigent tous que les organisations informent les organismes chargés de l'application de la loi. Même si les gens maîtrisent la situation, ils doivent quand même en informer les autorités compétentes.
Bien que le gouvernement fédéral ne dispose pas de lois explicites et complètes concernant les ransomwares, il considère le paiement des rançons comme un type de transaction. En raison de cette technicité, il est illégal d’interagir avec l’attaquant – cela pourrait entraîner de lourdes sanctions. L'Office of Foreign Assets Control (OFAC) du Département du Trésor américain supervise la plupart de ces incidents.
La Loi sur les pouvoirs économiques d’urgence internationaux (IEEPA) et la Loi sur le commerce avec l’ennemi (TWEA) comportent des règles strictes contre l’engagement financier étranger. Il
Ces actes et lois ne traitent peut-être pas explicitement du paiement de rançons, mais ils couvrent les ransomwares. Les violations des sanctions entraînent généralement des sanctions civiles, ce qui signifie que les organisations doivent payer de lourdes amendes ou des règlements. Certaines personnes risquent même une peine de prison si le gouvernement estime que leurs actes sont criminels ou criminellement négligents.
Surtout, le gouvernement note que même ceux qui ne sont pas au courant de ces actes peuvent faire face à des répercussions juridiques : il peut tenir les personnes civilement responsables même si elles ne savaient pas que leurs actes étaient illégaux. Si une entreprise panique et paie la rançon dès qu’une attaque se produit, elle devra quand même répondre à l’OFAC, à la CISA et à d’autres agences.
Les organisations doivent garder à l’esprit que leur gouvernement local a également une position à l’égard des ransomwares : la plupart imposent des amendes et des répercussions juridiques. Chaque État et territoire américain a ses propres mandats et sanctions en matière de signalement des violations de données.
Même si les lois spécifiques à chaque État diffèrent, chacune
Alors que de nombreux États découragent le paiement de rançons – certains ont même interdit la communication avec les attaquants de ransomware – leurs amendes concernent généralement la confidentialité des données. Les forces de l'ordre locales et les entités publiques n'ont pas autant de pouvoir que le gouvernement fédéral, elles ne s'impliquent donc généralement pas dans les affaires privées des gens.
Ils peuvent toujours réagir rapidement aux violations de données et infliger des amendes s’ils en ressentent le besoin. Depuis
Les organisations auront des problèmes juridiques si elles paient une demande de ransomware. Puisque le gouvernement fédéral considère les paiements comme un financement pour des entités criminelles, il réagira rapidement. Les amendes varient de quelques milliers de dollars à plusieurs millions, ce qui représente souvent un préjudice financier supérieur à la rançon initiale.
En plus des amendes, les forces de l'ordre pourraient confier l'affaire au ministère de la Justice. Ils peuvent également poursuivre l’organisation non conforme devant les tribunaux, où les sanctions financières et de réputation seront beaucoup plus sévères.
De plus, si le gouvernement découvre qu’une entreprise a fait tout son possible pour dissimuler le paiement d’un ransomware, il pourrait en être tenu pénalement responsable. Les sanctions pénales sont beaucoup plus sévères et, selon les cas, pourraient même entraîner une peine de prison.
Au lieu de payer la rançon, les organisations devraient contacter les autorités compétentes. Le Strengthening American Cybersecurity Act (SAC) de 2022 stipule que toutes les organisations d'infrastructures nationales critiques doivent divulguer les attaques de ransomware à la Cybersecurity and Infrastructure Security Agency (CISA).
Cependant, la présence de CISA n'est qu'une première étape. Ils doivent également contacter le Département de la Sécurité intérieure, le département d'évaluation des sanctions et de la conformité de l'OFAC et le groupe de travail cyber du FBI. Ces agences sont constamment confrontées à des attaques de ransomware et connaissent la meilleure façon de les gérer.
La plupart des entreprises paniquent lorsqu’elles réalisent qu’un attaquant a verrouillé leurs données derrière un paywall malveillant. Pourtant, répondre à leurs demandes constitue l’une des pires approches. Même si une organisation peut recevoir des amendes pour sécurité et confidentialité une fois qu'elle s'adresse aux forces de l'ordre, elle évite d'avoir à payer des centaines de milliers de dollars pour avoir violé l'IEEPA, la TWEA ou le Strengthening American Cybersecurity Act.