Comme de nombreuses PME, JPX Construction ne s’imaginait pas faire l’objet d'une attaque par ransomware. Elle n'était pas une organisation très connue. Ses données ne semblaient pas de grande valeur. Aussi, lorsque la directrice financière a allumé son PC pour y voir un écran noir avec un message lui annonçant qu’elle était victime d’un ransomware, le choc a été rude. Voici le postulat d'un nouveau film qui montre au spectateur les effets d'une attaque de ransomware fictive – mais basée sur des faits bien réels.

Les cybermenaces restent encore très présentes : l'enquête de 2024 du gouvernement britannique sur les atteintes à la cybersécurité a révélé que 47 % des micro-entreprises et 58 % des petites entreprises avaient été victimes d'une attaque ou d’une intrusion au cours des 12 derniers mois. Par ailleurs, 19 % des micro-entreprises et 29 % des petites entreprises ont été victimes d'un acte cybercriminel.

Butterfly, un nouveau film réalisé par Dark Matter en association avec McAfee et Dell Technologies, revient sur cette expérience. Le film se concentre sur l'attaque d'une PME du secteur du BTP et suit les événements du point de vue de trois personnes clés : le directeur financier, le consultant informatique externe et le directeur général.

Georgia, directrice financière, découvre rapidement que ce n'est pas seulement son PC qui est touché, mais aussi les PC de toute l'entreprise, et ses serveurs. Elle fait alors appel au consultant informatique externe de l'entreprise, Noah, dans l'espoir de résoudre le problème. Mais comme les disques durs et les serveurs sont cryptés et que toutes les activités quotidiennes sont bloquées, Noah n'a pas d'autre choix que de traiter directement avec les attaquants. Le film montre bien qu'il n'y a pas de réponse facile, même lorsque la police et les experts en cybersécurité sont impliqués.

Faire le choix de payer ou non la rançon est source d’angoisse, avec des arguments solides dans un sens comme dans l’autre. Cela vaut-il la peine de payer pour minimiser l'impact sur l'entreprise, ou ouvre-t-on alors la porte à des attaques à répétition ?

 

Le crime organisé

Alors que Georgia, Noah et Stephen, le directeur général, passent en revue leurs options et négocient avec leurs attaquants, il apparaît qu'ils n'ont pas affaire à des pirates informatiques isolés ou opportunistes, mais bien à un groupe criminel structuré et organisé. La cybercriminalité est aujourd’hui une entreprise commerciale comme une autre et JPX Construction se retrouve malgré elle « cliente » d'une organisation anonyme à laquelle elle ne peut faire confiance.

Les complications ne font qu'augmenter les demandes de rançon, et l'impact financier passe de quelques dizaines à plusieurs centaines de milliers de livres, avec des effets continus – y compris la perte d'activité et les dommages réputationnels – longs de plusieurs mois.

De plus, ces effets s'accompagnent d'effets physiques et émotionnels étonnants. Comme le dit Georgia à l'écran, le problème majeur est que très peu de PME reconnaissent que les attaques par ransomwares pourraient leur arriver à elles, ou mettent en œuvre les mesures de base qui leur permettraient de se parer à une attaque. Comme le révèle l'étude Cyber Security Breaches Survey 2024, seules 14 % des micro-entreprises et 30 % des petites entreprises ont bénéficié d'une formation ou d'une sensibilisation à la cybersécurité au cours des 12 derniers mois.

Jake North, chef de produit pour la sécurité des consommateurs et des petites entreprises chez Dell Technologies, estime que la croyance selon laquelle toute entreprise, quelle que soit sa taille, ne constitue pas une cible est une idée fausse très répandue. « Les petites entreprises sous-estiment la portée de leurs activités, et elles sont aussi peu protégées car elles n'ont pas les ressources informatiques pour s’assurer de cela », explique-t-il.

Butterfly est riche d'informations et de retours d’expérience sur les attaques par ransomware.

Regardez Butterfly : une histoire (vraie) de cybercriminalité, sponsorisé par McAfee et Dell Technologies, dès à présent.