Les autorités australiennes mettent en place une nouvelle législation qui impose aux entreprises de signaler les paiements effectués aux cybercriminels après des incidents de ransomware. Cette initiative vise à éclairer le phénomène, bien que des experts doutent de son efficacité. Le processus de déclaration pourrait également accabler les entreprises victimes.
Les entreprises opérant en Australie doivent à présent signaler tout paiement effectué aux cybercriminels suite à un incident de ransomware. Les responsables gouvernementaux espèrent que ce nouveau mandat leur permettra de mieux comprendre le problème, car de nombreuses entreprises continuent de payer des rançons chaque fois qu’elles sont victimes de logiciels malveillants de type encryptage de fichiers.
Proposée l’année dernière, la loi s’applique uniquement aux entreprises dont le chiffre d’affaires annuel dépasse 1,93 million €. Ce seuil cible les 6,5 % des entreprises enregistrées en Australie, représentant environ la moitié de la production économique totale du pays.
En vertu de la nouvelle législation, les entreprises touchées doivent signaler les incidents de ransomware à l’Australian Signals Directorate (ASD). Un manque de divulgation appropriée d’une attaque entraînera des amendes dans le cadre du système des sanctions civiles du pays.
Les autorités auraient l’intention d’adopter une approche en deux phases, en se concentrant d’abord sur les violations majeures tout en favorisant un dialogue « constructif » avec les victimes.
À partir de l’année prochaine, les régulateurs adopteront une attitude beaucoup plus stricte envers les organisations non conformes. Le gouvernement australien a mis en œuvre cette exigence de déclaration obligatoire après avoir conclu que les divulgations volontaires étaient insuffisantes. En 2024, les responsables ont indiqué que les incidents de ransomware et d’extorsion étaient largement sous-déclarés, une victime sur cinq seulement se manifestant.
Le ransomware reste un phénomène très complexe et en pleine expansion, avec des attaques atteignant des niveaux records malgré l’augmentation des actions des forces de l’ordre contre des cyber-gangs notoires. Bien que plusieurs gouvernements aient proposé des réglementations similaires, l’Australie est le premier pays à avoir formellement adopté une telle loi.
Jeff Wichman, directeur de la réponse aux incidents chez Semperis, une société de cybersécurité, met en garde contre le fait que la déclaration obligatoire est une arme à double tranchant. Bien que le gouvernement puisse obtenir des données et des informations précieuses sur les profils des attaquants, la loi pourrait ne pas réduire la fréquence des attaques.
Elle pourrait surtout servir à stigmatiser publiquement les organisations touchées, tandis que les cybercriminels continueraient de réaliser des bénéfices. Une étude récente de Semperis a révélé que plus de 70 % des 1 000 entreprises victimes de ransomware avaient choisi de payer la rançon en espérant le meilleur.
« Certaines entreprises veulent simplement payer et en finir, pour récupérer leurs données sur le dark web. D’autres préfèrent négocier avec l’attaquant tout en cherchant à comprendre ce qui s’est passé, » a expliqué Wichman.
Selon l’étude, 60 % des victimes ayant payé ont reçu des clés de décryptage fonctionnelles et ont réussi à récupérer leurs données. Cependant, dans 40 % des cas, les clés fournies étaient corrompues ou inefficaces.