La France a-t-elle les moyens de mesurer la menace ransomware ?
La France a-t-elle les outils pour évaluer la menace ransomware ? Éléments de réponse sous le prisme des plaintes que recueillent police et gendarmerie.
Jusqu'où peut-on mesurer la menace ransomware ? La tâche est délicate pour la puissance publique. et le dernier numéro de la revue Interstats en témoigne. À commencer par la principale information que communique le ministère de l'Intérieur : pas de chiffre précis, mais une fourchette. En l'occurrence, entre 1580 et 1870 procédures enregistrées sur la période 2016-2020 par les services de police et de gendarmerie nationales.
Aléa non spécifique aux ransomwares : l'estimation se fonde sur les faits portés à la connaissance de ces services. Les attaques ne donnent en effet pas systématiquement lieu à des plaintes. Aussi la Place Beauvau en appelle-t-elle, pour mieux évaluer la proportion de victimes, à des enquêtes complémentaires, auprès d'échantillons représentatifs. Véhicule suggéré : celle que l'Insee mène régulièrement au sujet des incidents de sécurité informatique dans le secteur privé.
Certains facteurs compliquant l'identification des attaques résident dans l'enregistrement même des procédures. Au-delà de la qualité des informations saisies, il existe des différences structurelles entre les bases de données de la police et de la gendarmerie. La première a par exemple une variable « rançongiciel » que la seconde n'a pas pour caractériser le mode opératoire au niveau des infractions. En revanche, la saisie du champ textuel décrivant la manière d'opérer n'y est pas obligatoire. Les infos manquent d'ailleurs dans 83 % des procédures comprenant des victimes personnes morales de crimes et délits.
Lire aussi : Sécurisation des identifiants et protection contre les attaques par déplacement latéral
Le ransomware en manque de cadre juridique
Quand bien même la manière d'opérer serait précisée, il manque parfois des éléments. En particulier la demande de versement d'une rançon. Ce qui peut conduire à ne pas qualifier comme telles des attaques par ransomware. À l'inverse, on peut erronément y assimiler d'autres types d'attaques*, dont les arnaques au faux support technique. Ce levier est toutefois plus souvent exploité auprès des personnes physiques. que l'étude du ministère de l'Intérieur ne prend pas en compte.
La centralisation systématique des enquêtes au niveau national par famille de ransomwares pose un autre problème dans le cas présent. Une fois transférées à partir des plaintes initiales, les procédures sortent du champ de l'étude. C'est, en outre, généralement à cet échelon que s'effectue l'identification des mis en cause. Si bien que le taux n'est que de 0,3 % au « premier niveau ». Sans compter le fait que les services de police n'enregistrent cette donnée qu'une fois une procédure close.
* Le rançongiciel n'a pas de qualification juridique propre. Dans la plupart des cas (ici, 82 %) a été retenue une infraction à système(s) de traitement automatisé de données. Fait que les articles 323-1 à 8 du Code pénal punissent d'un maximum de 10 ans de prison et 300 000 ? d'amende. Parmi les autres qualifications possibles : extorsion (312-1 ; 7 ans et 100 000 ?), chantage (312-10) et escroquerie (313-1).
Illustration principale © FLY:D - Unsplash
Sur le même thème
Voir tous les articles Cybersécurité