S'il y a bien un conseil connu et répété en cas de ransomware c'est bien celui de ne pas payer la rançon. De la Gendarmerie Nationale à la Police Nationale en passant par l'ANSSI, les principales forces de lutte et de prévention contre les cybermenaces sont unanimes sur ce point. Làs, cela n'empêche pas certaines entreprises aspirées dans la spirale du rançonnage de tenter d'en sortir en acceptant de répondre au chantage des cyberescrocs. C'est notamment le cas aux Etats-Unis où d'après une étude menée par le bureau du contrôle des actifs étrangers (OFAC) rattaché au département du Trésor, le montant des amendes liées aux rançongiciels versées atteindrait au moins 140 millions de dollars de janvier 2013 à juillet 2019.
Pour tenter d'enrayer cet inquiétant phénomène - rappelons que le paiement des rançons n'assurent en aucun cas un recouvrement ultérieur des données chiffrées et valide par la même occasion le fonctionnement de la cyberattaque incitant les pirates à réitérer leur méfait - l'OFAC tape du poing sur la table. Pour cela, l'organisme a décidé de s'attaquer non pas directement aux entreprises victimes (heureusement) mais à celles qui aideraient ces dernières à verser des rançons, incluant aussi bien des institutions financières que des assurances cyber ou encore des sociétés de lutte contre les incidents cybersécurité. Comment ? En appliquant une sanction - qui n'a pas cours en France - à savoir sous forme d'indemnités civiles punitives.
Prévenir les forces de l'ordre pour diminuer le risque de poursuite
« L'OFAC peut imposer des sanctions civiles pour les violations de sanctions fondées sur la responsabilité stricte, ce qui signifie qu'une personne soumise à la juridiction américaine peut être tenue civilement responsable même si elle ne savait pas ou n'avait pas des raisons de savoir qu'elle s'engageait dans une transaction avec une personne qui est interdite par les lois et règlements de sanctions administrés par l'OFAC », explique ce bureau. « En vertu des directives d'application de l'OFAC, elle considérera également que le rapport complet d'une entreprise sur une attaque de ransomware aux forces de l'ordre est également considéré comme un facteur atténuant significatif en cas de sanction ultérieure ».