White House Issues Open Letter to Private Businesses Regarding the Threat of Ransomware

Le 2 juin 2021, Anne Neuberger, adjointe au président et conseillère adjointe à la sécurité nationale pour les technologies cybernétiques et émergentes, a publié une lettre ouverte inhabituelle à l'intention des dirigeants d'entreprises privées et des chefs d'entreprise au sujet de la menace importante que représentent les attaques par ransomware. Cette lettre fait suite à une récente série d'attaques par ransomware contre divers secteurs de l'économie américaine, notamment les secteurs de l'énergie, de la banque, de la santé et de l'agroalimentaire. Elle fait suite au décret présidentiel de Joe Biden sur l'amélioration de la cybersécurité nationale, qui exige du gouvernement fédéral qu'il adopte plusieurs nouvelles pratiques de cybersécurité destinées à protéger le gouvernement contre les attaques de cybersécurité. Le gouvernement fédéral renforce également ses efforts de répression contre les acteurs malveillants qui utilisent des ransomwares pour perturber l'économie américaine et a annoncé le 7 juin 2019 que le ministère de la Justice avait saisi des millions de dollars en cryptomonnaie provenant de l'incident de ransomware impliquant Colonial Pipeline.

La lettre indique que le gouvernement fédéral a intensifié ses efforts pour mettre fin aux attaques par ransomware, notamment en redoublant d'efforts pour démanteler les réseaux de ransomware, en collaborant avec des partenaires internationaux afin de tenir pour responsables les pays étrangers qui abritent les auteurs de ransomware, et en élaborant des politiques plus cohérentes et uniformes en matière de paiement des rançons.

Le Bureau du contrôle des avoirs étrangers (OFAC) du département américain du Trésor a également publié des recommandations sur les risques de sanctions liés au paiement de rançons pour des activités malveillantes menées sur Internet. Plus précisément, en vertu de la loi sur les pouvoirs économiques d'urgence internationaux (IEEPA) ou de la loi sur le commerce avec l'ennemi (TWEA), il est généralement interdit aux ressortissants américains de s'engager, directement ou indirectement, dans des transactions avec des personnes ou des entités (personnes) figurant sur la liste des ressortissants spécialement désignés et des personnes bloquées (liste SDN) de l'OFAC, d'autres personnes bloquées et celles couvertes par des embargos nationaux ou régionaux complets (par exemple, Cuba, la région de Crimée en Ukraine, l'Iran, la Corée du Nord et la Syrie), entre autres transactions. Les entreprises qui envisagent de payer la rançon pour récupérer leurs données ou pour empêcher leur divulgation publique doivent consulter ces recommandations de l'OFAC avant d'effectuer tout paiement lié à un ransomware, car l'OFAC peut imposer des sanctions civiles sur la base de la responsabilité stricte. Cela signifie que votre organisation pourrait être tenue civilement responsable même si elle ne savait pas ou n'avait aucune raison de savoir qu'elle effectuait une transaction avec une personne interdite en vertu des lois sur les sanctions de l'OFAC (pour les sociétés cotées en bourse, une telle responsabilité pourrait également donner lieu à des poursuites judiciaires de la part des investisseurs).

La lettre avertit également le secteur privé qu'il a la responsabilité de se protéger contre la menace des ransomwares, soulignant que toute entreprise peut être la cible d'une attaque de ransomware, quelle que soit sa taille ou son emplacement. La lettre exhorte toutes les entreprises à prendre au sérieux la menace des ransomwares et à adopter des pratiques de cybersécurité adaptées à cette menace. En conséquence, les chefs d'entreprise sont encouragés à revoir la posture globale de leur entreprise en matière de cybersécurité, ainsi que leurs plans de continuité des activités, afin de s'assurer qu'ils peuvent rapidement rétablir leurs opérations en cas d'attaque par ransomware.

En outre, les entreprises sont invitées à prendre immédiatement les mesures suivantes afin de concentrer leurs efforts et de progresser rapidement vers la réduction du risque d'attaque par ransomware :

Mettre en œuvre les meilleures pratiques décrites dans le décret présidentiel de Joe Biden sur l'amélioration de la cybersécurité nationale: ces pratiques comprennent : (a) l'utilisation d'une authentification multifactorielle au lieu de se fier uniquement aux mots de passe ; (b) l'utilisation de technologies de détection et de réponse réseau pour détecter et traquer activement les activités malveillantes sur un réseau et les arrêter avant qu'elles ne puissent endommager le réseau ou les systèmes ; (c) l'utilisation d'une technologie de chiffrement pour minimiser les dommages si le ransomware non seulement prend les données en otage par le biais du chiffrement, mais exfiltre également les informations pour tenter d'obtenir une rançon supplémentaire en menaçant de divulguer des informations sensibles, même lorsque les données ont été restaurées à partir de sauvegardes ; et (d) le recours à une équipe de sécurité informatique dûment qualifiée qui surveille les informations disponibles pour détecter les nouvelles menaces et qui corrige et entretient de manière appropriée les systèmes informatiques de l'entreprise afin de la protéger contre ces menaces.
Sauvegardez les images système, les configurations et les données sur un support de stockage hors ligne et testez régulièrement ces sauvegardes : les ransomwares tentent régulièrement de chiffrer et de supprimer les sauvegardes accessibles depuis le réseau de l'entreprise. Par conséquent, les sauvegardes doivent être stockées hors ligne, à un endroit inaccessible en cas d'attaque par ransomware chiffrant les systèmes informatiques de l'entreprise. Il est en outre recommandé aux entreprises de tester régulièrement si les sauvegardes sont suffisantes pour restaurer le système en cas d'attaque.
Appliquez rapidement les correctifs et mettez à jour les systèmes : à mesure que de nouvelles vulnérabilités sont découvertes, l'application de correctifs est un élément essentiel de la protection contre les attaques par ransomware. Les organisations doivent envisager la mise en place d'un système de gestion des correctifs et utiliser une stratégie d'évaluation basée sur les risques pour déterminer quand appliquer les correctifs aux systèmes d'exploitation, aux applications et aux micrologiciels.
Tester les plans d'intervention en cas d'incident : les entreprises doivent disposer d'un plan d'intervention en cas d'incident et le tester régulièrement à l'aide de simulations sur table afin de détecter et de combler les lacunes éventuelles du plan. Lorsqu'elle examine son plan d'intervention en cas d'incident, l'entreprise doit se poser plusieurs questions fondamentales, notamment : (a) quels sont les systèmes essentiels à la poursuite des activités commerciales ; (b) combien de temps l'entreprise peut-elle poursuivre ses activités sans certains systèmes spécifiques ; et (c) l'entreprise serait-elle contrainte d'interrompre ses activités de fabrication si certains systèmes commerciaux spécifiques étaient touchés par une attaque par ransomware (tels que la facturation) ? L'entreprise doit ensuite adapter son plan d'intervention en cas d'incident de manière appropriée.
Vérifier le travail de l'équipe de sécurité : les entreprises doivent tester la sécurité de leurs systèmes à l'aide de tests d'intrusion et d'autres tests de vulnérabilité.
Segmentation du réseau : les attaques par ransomware peuvent voler des données et perturber les opérations. Pour les entreprises qui exercent des activités de fabrication et de production, les attaques par ransomware peuvent avoir un impact significatif si le ransomware parvient à atteindre les systèmes qui contrôlent la fabrication et la production. La lettre recommande que les réseaux informatiques qui contrôlent les opérations de fabrication et de production soient séparés des réseaux utilisés pour les fonctions commerciales de l'entreprise et que les entreprises identifient les liens entre ces réseaux et filtrent et limitent soigneusement l'accès à Internet entre ces réseaux. Cela permettra de garantir que le réseau de fabrication et de production peut être isolé et que les opérations de fabrication et de production se poursuivent si le réseau de l'entreprise est isolé. Les entreprises doivent tester régulièrement leurs plans d'urgence, tels que les contrôles manuels, afin de s'assurer que les fonctions essentielles à la sécurité peuvent être maintenues pendant une attaque par ransomware.

Les entreprises doivent noter que les directives de l'OFAC ci-dessus sont susceptibles d'être considérées comme les meilleures pratiques standard appliquées dans toute action civile à la suite d'une attaque par ransomware afin de déterminer si l'entreprise a respecté sa norme générale de diligence.

Ressources supplémentaires sur la cybersécurité pour les entreprises

La Cybersecurity & Infrastructure Security Agency (CISA) et d'autres organismes gouvernementaux américains disposent de plusieurs ressources pour aider les entreprises à se protéger contre les attaques par ransomware, notamment :

En outre, le ministère américain de la Santé et des Services sociaux a publié des ressources supplémentaires sur les ransomwares à l'intention des organisations du secteur de la santé.

Bien que la protection contre les ransomwares soit un élément essentiel de la stratégie de cybersécurité d'une entreprise, les entreprises doivent prendre conscience que les ransomwares ne sont qu'un type parmi d'autres de menaces de cybersécurité auxquelles elles sont confrontées. Par exemple, les attaques traditionnelles par ransomware qui prennent en otage les informations d'une entreprise sont désormais souvent associées à l'exfiltration des informations, de sorte que même si une entreprise parvient à restaurer rapidement ses systèmes cryptés à partir de sauvegardes, elle risque de voir divulguées des informations commerciales et personnelles sensibles. Les entreprises sont donc encouragées à adopter une stratégie de cybersécurité globale adaptée aux risques auxquels elles sont confrontées. Pour plus d'informations sur l'élaboration d'une telle stratégie de cybersécurité globale, veuillez contacter l'un des auteurs mentionnés ci-dessous ou un autre membre clé du groupe Cybersécurité de Foley.

Clause de non-responsabilité

Ce blog est mis à disposition par Foley & Lardner LLP ("Foley" ou "le cabinet") à des fins d'information uniquement. Il n'a pas pour but d'exprimer la position juridique du cabinet au nom d'un client, ni de fournir des conseils juridiques spécifiques. Les opinions exprimées dans cet article ne reflètent pas nécessairement celles de Foley & Lardner LLP, de ses partenaires ou de ses clients. En conséquence, n'agissez pas sur la base de ces informations sans demander l'avis d'un avocat agréé. Ce blog n'est pas destiné à créer, et sa réception ne constitue pas, une relation avocat-client. Communiquer avec Foley par le biais de ce site web, que ce soit par e-mail, par un billet de blog ou par tout autre moyen, ne crée pas une relation avocat-client pour une quelconque question juridique. Par conséquent, toute communication ou matériel que vous transmettez à Foley par le biais de ce blog, que ce soit par e-mail, par billet de blog ou de toute autre manière, ne sera pas traité comme confidentiel ou propriétaire. Les informations contenues dans ce blog sont publiées "EN L'ÉTAT" et ne sont pas garanties comme étant complètes, exactes ou à jour. Foley ne donne aucune garantie, expresse ou implicite, quant au fonctionnement ou au contenu du site. Foley rejette expressément toute autre garantie, condition ou déclaration de quelque nature que ce soit, expresse ou implicite, découlant d'un statut, d'une loi, d'un usage commercial ou autre, y compris les garanties implicites de qualité marchande, d'adéquation à un usage particulier, de titre et d'absence de contrefaçon. En aucun cas Foley ou l'un de ses partenaires, dirigeants, employés, agents ou affiliés ne pourra être tenu responsable, directement ou indirectement, en vertu de toute théorie de droit (contrat, délit, négligence ou autre), envers vous ou toute autre personne, pour toute réclamation, perte ou dommage, direct, indirect, spécial, accessoire, punitif ou consécutif, résultant de ou occasionné par la création, l'utilisation ou la confiance en ce site (y compris les informations et autres contenus) ou tout autre site tiers ou les informations, ressources ou matériels accessibles à travers de tels sites web. Dans certaines juridictions, le contenu de ce blog peut être considéré comme de la publicité pour les avocats. Le cas échéant, veuillez noter que des résultats antérieurs ne garantissent pas un résultat similaire. Les photographies ne sont utilisées qu'à des fins de représentation et peuvent inclure des modèles. Les portraits n'impliquent pas nécessairement le statut de client, de partenaire ou d'employé actuel.