Que se passe-t-il vraiment lorsqu’une entreprise se retrouve face à une demande de rançon ? Derrière les discours sur le ransomware, la réalité est souvent plus brute, faite d’arbitrages rapides, d’incertitudes et de négociations sous pression. Geert Baudewijns, PDG de Secutec, partage ici son retour d’expérience sur ces moments critiques, avec une lecture très opérationnelle de la gestion de crise.
SNC : Dans une situation de ransomware, à quel moment une entreprise décide-t-elle concrètement d’entrer en négociation avec les attaquants, et quels sont les critères déterminants dans cette décision ?
Geert Baudewijns : Les entreprises entrent en négociation quand elles réalisent qu’elles n’ont pas le choix. Un réseau opérationnel est vital pour la plupart des entreprises. Chaque jour d’inactivité coûte cher : en moyenne, les attaques entraînent 24 jours d’arrêt. La question devient alors : « Ces jours d’inactivité ne vont-ils pas me coûter plus cher que le paiement de la rançon ? » C’est à ce moment-là qu’on me contacte.
Mes principaux clients sont des assureurs américains : ils me sollicitent dès la réception de la lettre de rançon, alors que leurs équipes tentent de rétablir le réseau. Un négociateur expérimenté apporte la lucidité nécessaire pour minimiser les coûts, qu’il s’agisse de l’inactivité ou de la rançon elle-même.
Vous évoquez des cas où plusieurs groupes peuvent cibler une même organisation. Concrètement, comment identifiez-vous que vous êtes en train de négocier avec le « bon » interlocuteur, et quels sont les risques en cas d’erreur ?
G. B. : Je demande systématiquement 6 pages de fichiers décryptés pour valider deux points :
– l’authenticité de l’attaquant (éviter de négocier avec un imposteur) ;
– la nature des données compromises (savoir ce qu’ils détiennent réellement).
Sans cette vérification, le risque est double : payer la mauvaise personne et/ou surestimer la menace.
Pouvez-vous partager un exemple de négociation particulièrement complexe ou atypique, qui illustre les difficultés rencontrées sur le terrain ?
G. B. : La plus atypique, c’est la première fois qu’un hacker m’a demandé de basculer sur Tor (le « WhatsApp des cybercriminels ») pour porter la rançon à 700 000 $ au lieu de 500 000 $ équivalent en bitcoin, en échange de 20 % de la différence. J’ai bien sûr refusé, mais depuis ce jour-là, je reçois ce type de sollicitations toutes les semaines.
C’est d’ailleurs pour cette raison que, au sein de Secutec, je garde personnellement la main sur ces négociations. En tant que chef d’entreprise, je n’ai rien à gagner à accepter ce genre de proposition. Un collaborateur moins expérimenté pourrait, lui, être plus facilement tenté. Récemment, un négociateur français s’est d’ailleurs fait prendre la main dans le sac pour avoir touché des commissions sur les rançons versées aux hackers.
Quelles sont les erreurs les plus fréquentes que vous observez côté entreprises au moment d’une attaque par ransomware, notamment dans les premières heures de la crise ?
G. B. : Couper l’alimentation du réseau est une erreur critique. Beaucoup de mes clients croient, à tort, que les hackers sont encore actifs dans leur système après l’attaque. Leur méthode est toujours la même : ils s’infiltrent, exécutent leur script de chiffrement, puis quittent le système en envoyant leur demande de rançon.
Au-delà de la négociation elle-même, que permettent réellement ces échanges avec les attaquants en termes de compréhension de l’attaque et d’amélioration de la posture de sécurité ?
G. B. : La négociation peut devenir une opportunité stratégique. Cette épreuve que vous vivez peut aussi devenir votre meilleur team-building. Souvent, les équipes informatiques restent des jours et des nuits pour sauver le système.
En plus de renforcer la cohésion d’équipe, cela permet aussi de devenir plus résilient à long terme et de changer la stratégie de protection de l’entreprise. Car les hackers attaqueront toujours les plus faibles. Comprendre la faille est essentiel pour mieux se protéger à l’avenir.
Aujourd’hui, 95 % des entreprises mentent sur les causes réelles de l’attaque, par peur pour leur réputation. Résultat, une omerta généralisée qui empêche le secteur de progresser.
