Alors que se déroule le Forum InCyber à Lille, Solutions Numériques & Cybersécurité a interviewé en exclusivité Jeff Wichman, ancien négociateur de rançons et directeur de la réponse aux incidents chez Semperis, connu pour sa solution de prévention, de détection, de réponse et de restauration des menaces Active Directory.
SNC – Pouvez-vous nous parler de votre parcours et de ce qui vous a conduit à devenir négociateur de rançons ?
Jeff Wichman – J’ai commencé dans la criminalistique numérique chez Crypsis, une petite entreprise acquise par Palo Alto Networks, où j’assistais déjà des clients victimes de ransomwares. Un jour, on m’a demandé si je voulais rejoindre l’équipe chargée des négociations. J’ai accepté par curiosité et rapidement pris goût à ce rôle. Parmi les moments marquants, il y a eu des attaques particulièrement sensibles touchant des infrastructures essentielles, nécessitant une réponse rapide et précise.
Vous avez été impliqué dans des négociations de rançons allant de 5 000 à 50 millions de dollars. Quelles différences avez-vous observées entre ces cas en termes de tactiques des attaquants ?
Les cas impliquant de petites rançons étaient généralement simples, les attaquants étant plus flexibles sur les montants. À l’inverse, dans les affaires à plusieurs millions, les cybercriminels étaient très déterminés et inflexibles, sachant précisément la valeur stratégique des données volées.
Quelle était la stratégie adoptée par les entreprises dans ce cas ?
Les entreprises confrontées à ces grosses rançons ressentaient souvent une pression énorme et envisageaient davantage le paiement comme une solution inévitable pour préserver leur activité. Dans ces moments, mon rôle était d’expliquer clairement les risques et les options disponibles, mais la décision revenait toujours à l’entreprise. La pression pouvait parfois brouiller leur jugement, ce qui ajoutait à la complexité des négociations.
La pression extrême pousse les dirigeants à envisager sérieusement le paiement comme seul moyen de survie.
Lors de vos négociations, quels étaient les principaux défis que vous deviez surmonter ? Y avait-il des stratégies récurrentes utilisées par les cybercriminels ?
L’un des plus grands défis était de maintenir un équilibre entre l’obtention d’informations cruciales pour l’investigation sans dévoiler trop d’informations sensibles aux attaquants. Les cybercriminels utilisent fréquemment des tactiques d’intimidation, menaçant de divulguer des données sensibles pour accélérer les paiements.
Dans votre expérience, avez-vous constaté une évolution des techniques de rançongiciels et des stratégies de négociation des attaquants ? Quelles tendances vous semblent les plus préoccupantes aujourd’hui ?
Oui, la double et triple extorsion sont devenues courantes. Les attaquants volent désormais des données sensibles pour faire pression sur les victimes et menacent de les publier ou de les vendre. Cette évolution rend les négociations plus difficiles et les impacts beaucoup plus sévères pour les victimes.
Ces attaques ont considérablement compliqué la négociation. Les entreprises doivent gérer plusieurs crises simultanément : la récupération technique, les communications externes et internes, ainsi que le risque légal lié aux données exposées. Cela augmente significativement la pression sur les décideurs.
Ces attaques ont considérablement compliqué la négociation. Les entreprises doivent gérer plusieurs crises simultanément.
Les entreprises ayant payé une rançon ne récupèrent pas toujours leurs données. Comment les entreprises abordent-elles cette incertitude et quels dilemmes cela pose-t-il ?
C’est effectivement un gros problème. Beaucoup d’entreprises paient avec l’espoir que leurs données soient restaurées, mais ce n’est jamais garanti. Le dilemme principal est qu’en payant, elles encouragent indirectement cette économie criminelle, tout en étant conscientes qu’il y a un risque réel de ne jamais retrouver leurs données, que j’ai vues trop souvent réapparaître ailleurs après paiement.
Vous avez travaillé sur des cas d’attaques particulièrement critiques, notamment sur des infrastructures sensibles. Pouvez-vous nous raconter une situation marquante et comment elle a été gérée ?
Un cas marquant a été celui d’un hôpital totalement paralysé par une attaque. La négociation a dû être menée de manière très agressive pour obtenir rapidement des preuves des données exfiltrées et des systèmes impactés. L’équipe technique a alors pu concentrer ses efforts pour restaurer les services essentiels en priorité, réduisant ainsi les dommages potentiels sur les soins apportés aux patients. L’urgence était telle que chaque heure comptait, et nous avons dû combiner la négociation avec une réponse technique très rapide et coordonnée.
La négociation a dû être menée de manière très agressive pour obtenir rapidement des preuves des données exfiltrées.
Aujourd’hui, en tant que directeur de la réponse aux incidents chez Semperis, comment votre expérience en négociation influence-t-elle votre approche de la cybersécurité et de la gestion des crises ?
Cette expérience m’a appris à anticiper les stratégies des cybercriminels et à mieux comprendre leurs méthodes. Je privilégie donc aujourd’hui une approche proactive, insistant sur la nécessité d’une préparation minutieuse aux crises et sur l’importance de limiter les points faibles exploitables par les attaquants.
Je privilégie aujourd’hui une approche proactive.
Quels conseils donneriez-vous à une entreprise rançonnée ?
Préparez-vous toujours au pire scénario, et ne prenez jamais pour acquis les promesses des attaquants. Investissez plutôt dans la résilience et la prévention : limitez les accès administratifs, sauvegardez régulièrement vos données et formez constamment vos équipes à réagir rapidement en cas d’incident.
