Quelles sont les implications juridiques du paiement des demandes de ransomware ?

Même si les organisations peuvent penser que la meilleure stratégie lors d'une attaque de ransomware est de répondre aux demandes de l'attaquant, cela pourrait les mettre dans une situation juridiquement délicate. Une fois que le gouvernement fédéral s’impliquera, les répercussions financières seront plus importantes que la rançon elle-même. Voici ce que les entreprises devraient faire et éviter dans cette situation pour protéger leurs actifs.

La plupart des organisations paient-elles la rançon ?

Les attaques de ransomware ont un impact considérable sur tous les secteurs. Malheureusement, ils s’aggravent. Les incidents' les coûts ont dépassé 400 millions de dollars en 2020, soit quatre fois plus élevé que le total de 2019. Ces attaques menacent les moyens de subsistance des populations, si bien que beaucoup ressentent une pression extrême pour payer la rançon.

En fait, environ 50% des victimes payer la rançon. Cependant, même si la plupart cèdent aux demandes des attaquants, seuls 4 % récupèrent toutes leurs données décryptées et intactes. Même si s’y conformer peut sembler être la meilleure approche, elle n’est souvent pas payante.

Est-il illégal de payer une rançon ?

Il est techniquement illégal de payer une rançon lors d’une attaque de ransomware. Après tout, il est presque impossible de localiser l'attaquant ou de savoir pour qui il travaille – et le gouvernement désapprouve les entités américaines qui financent des groupes terroristes ou des pays sous embargo.

Pourquoi les organisations paient-elles la rançon alors que c'est illégal ? Même si beaucoup ne connaissent pas sa légalité, certains l'acceptent parce qu'ils pensent que c'est le meilleur choix. Après une analyse des coûts, ils se rendent compte que payer les amendes pourrait être moins coûteux.

Contenir une attaque de malware prend environ 50 jours en moyenne, ce temps d'arrêt prolongé pourrait nuire aux ventes et à la réputation d'une marque. Au lieu de perdre définitivement leurs données, de faire face à l’examen minutieux du gouvernement et de subir des réactions négatives du public, certains paient discrètement l’attaquant. Cela peut sembler un risque calculé, mais les répercussions potentielles n’en valent généralement pas la peine.

Considérations juridiques relatives aux attaques de ransomwares

De nombreux mandats locaux et fédéraux concernent les cyberattaques et les ransomwares. Les personnes vivant ou faisant des affaires aux États-Unis doivent se conformer à ces exigences légales.

Voici les principales lois et considérations pour les organisations :

• Informer les parties prenantes : les organisations doivent généralement informer leurs parties prenantes d'une attaque de ransomware. Selon les lois locales, ils peuvent être amenés à faire des déclarations publiques ou à informer tous les clients.
• Payer des rançons : les gouvernements fédéral et locaux appliquent des règles strictes à ce sujet car c’est une question de sécurité – ils considèrent cela comme un financement ou un soutien.
• Notifier les forces de l’ordre : déclare l’Agence de cybersécurité et de sécurité des infrastructures (CISA) la déclaration en temps opportun est obligatoire pour tous les incidents de ransomware. Les victimes doivent informer les agences gouvernementales américaines compétentes.
• Informer les clients : les organisations doivent informer leurs clients si une attaque de ransomware a un impact sur la sécurité des données. Après tout, leur vie privée est menacée si les attaquants exposent leurs informations personnelles ou financières.

Bien que les mandats exacts de reporting varient selon l'État et le secteur, ils exigent tous que les organisations informent les organismes chargés de l'application de la loi. Même si les gens maîtrisent la situation, ils doivent quand même en informer les autorités compétentes.

Quelles sont les exigences du gouvernement fédéral ?

Bien que le gouvernement fédéral ne dispose pas de lois explicites et complètes concernant les ransomwares, il considère le paiement des rançons comme un type de transaction. En raison de cette technicité, il est illégal d’interagir avec l’attaquant – cela pourrait entraîner de lourdes sanctions. L'Office of Foreign Assets Control (OFAC) du Département du Trésor américain supervise la plupart de ces incidents.

La Loi sur les pouvoirs économiques d’urgence internationaux (IEEPA) et la Loi sur le commerce avec l’ennemi (TWEA) comportent des règles strictes contre l’engagement financier étranger. Il est illégal d'effectuer une transaction avec toute personne ou entité figurant sur la liste des ressortissants spécialement désignés et des personnes bloquées de l'OFAC. De plus, faire des affaires avec ceux qui sont sous embargo est un crime.

Ces actes et lois ne traitent peut-être pas explicitement du paiement de rançons, mais ils couvrent les ransomwares. Les violations des sanctions entraînent généralement des sanctions civiles, ce qui signifie que les organisations doivent payer de lourdes amendes ou des règlements. Certaines personnes risquent même une peine de prison si le gouvernement estime que leurs actes sont criminels ou criminellement négligents.

Surtout, le gouvernement note que même ceux qui ne sont pas au courant de ces actes peuvent faire face à des répercussions juridiques : il peut tenir les personnes civilement responsables même si elles ne savaient pas que leurs actes étaient illégaux. Si une entreprise panique et paie la rançon dès qu’une attaque se produit, elle devra quand même répondre à l’OFAC, à la CISA et à d’autres agences.

Quelles sont les exigences des gouvernements locaux ?

Les organisations doivent garder à l’esprit que leur gouvernement local a également une position à l’égard des ransomwares : la plupart imposent des amendes et des répercussions juridiques. Chaque État et territoire américain a ses propres mandats et sanctions en matière de signalement des violations de données.

Même si les lois spécifiques à chaque État diffèrent, chacune oblige les entités à informer les parties prenantes et l'application de la loi. Les installations locales ne sont généralement pas équipées pour faire face aux ransomwares, la responsabilité incombe donc aux agences fédérales comme le FBI, la CISA ou le Département de la Sécurité intérieure.

Alors que de nombreux États découragent le paiement de rançons – certains ont même interdit la communication avec les attaquants de ransomware – leurs amendes concernent généralement la confidentialité des données. Les forces de l'ordre locales et les entités publiques n'ont pas autant de pouvoir que le gouvernement fédéral, elles ne s'impliquent donc généralement pas dans les affaires privées des gens.

Ils peuvent toujours réagir rapidement aux violations de données et infliger des amendes s’ils en ressentent le besoin. Depuis près de 50% des attaquants Si vous volez des données avant de lancer l'attaque du ransomware, les organisations devront probablement répondre aux lois de leur État.

Pourquoi les organisations ne devraient-elles pas payer la rançon ?

Les organisations auront des problèmes juridiques si elles paient une demande de ransomware. Puisque le gouvernement fédéral considère les paiements comme un financement pour des entités criminelles, il réagira rapidement. Les amendes varient de quelques milliers de dollars à plusieurs millions, ce qui représente souvent un préjudice financier supérieur à la rançon initiale.

En plus des amendes, les forces de l'ordre pourraient confier l'affaire au ministère de la Justice. Ils peuvent également poursuivre l’organisation non conforme devant les tribunaux, où les sanctions financières et de réputation seront beaucoup plus sévères.

De plus, si le gouvernement découvre qu’une entreprise a fait tout son possible pour dissimuler le paiement d’un ransomware, il pourrait en être tenu pénalement responsable. Les sanctions pénales sont beaucoup plus sévères et, selon les cas, pourraient même entraîner une peine de prison.

Que devraient faire les organisations à la place ?

Au lieu de payer la rançon, les organisations devraient contacter les autorités compétentes. Le Strengthening American Cybersecurity Act (SAC) de 2022 stipule que toutes les organisations d'infrastructures nationales critiques doivent divulguer les attaques de ransomware à la Cybersecurity and Infrastructure Security Agency (CISA). en moins de 72 heures ou s'exposer à des sanctions. Si la victime paie une rançon, le délai est réduit à 24 heures.

Cependant, la présence de CISA n'est qu'une première étape. Ils doivent également contacter le Département de la Sécurité intérieure, le département d'évaluation des sanctions et de la conformité de l'OFAC et le groupe de travail cyber du FBI. Ces agences sont constamment confrontées à des attaques de ransomware et connaissent la meilleure façon de les gérer.

Ignorer les demandes des ransomwares est la meilleure approche

La plupart des entreprises paniquent lorsqu’elles réalisent qu’un attaquant a verrouillé leurs données derrière un paywall malveillant. Pourtant, répondre à leurs demandes constitue l’une des pires approches. Même si une organisation peut recevoir des amendes pour sécurité et confidentialité une fois qu'elle s'adresse aux forces de l'ordre, elle évite d'avoir à payer des centaines de milliers de dollars pour avoir violé l'IEEPA, la TWEA ou le Strengthening American Cybersecurity Act.