Face à l’explosion du nombre d’attaques par rançongiciels, les Etats-Unis ont décidé d’enrayer le système de financement des cybercriminels. En effet, depuis octobre 2020, les organismes, et notamment les établissements financiers qui facilitent le paiement de rançons demandées par les cybercriminels, pourraient se voir sanctionner par l’Office of Foreign Assets Control (OFAC).
Nouveau risque de sanctions pour les institutions financières
Alors que les rançongiciels ont connu une expansion sans précédent, notamment à cause de la pandémie de Covid-19 et la normalisation du télétravail, l’OFAC a émis, en octobre 2020 un avis sur les risques de sanctions relatifs aux paiements de rançon liés à des activités cybercriminelles malveillantes. L’OFAC est une agence américaine du Département du Trésor ayant pour objectif l’administration et l’application de sanctions, aussi bien économiques que commerciales à toutes entités qui nuiraient à la sécurité nationale, la politique étrangère et l’économie des Etats-Unis. Pour cet organisme, faciliter le paiement d’une rançon liée à des activités cybercriminelles contribue à l’accroissement et à la pérennisation de celles-ci. Cela s’explique par le fait que le prix des rançons a augmenté en même temps que le nombre des attaques et du fait que de nombreuses entreprises sont en capacité de payer la rançon grâce à l’assurance qu’elles ont souscrite. L’OFAC a ainsi pris la décision de sanctionner toutes les institutions facilitant le paiement d'une rançon, considérant que les activités cybercriminelles menacent la sécurité nationale des Etats-Unis.
Le régime de sanctions actuel des Etats-Unis repose en grande partie sur deux lois. L'International Emergency Economic Powers Act (IEEPA) de 1977 et la Trading with the Enemy Act (TWEA) de 1917, qui sont deux lois qui ont une portée extraterritoriale, devenues un moyen important d'imposer des sanctions économiques. Elles permettent justement à l’OFAC de fonder son régime de sanctions à l’encontre des établissements qui facilitent le paiement des rançons liés à des rançongiciels. L’IEEPA est une loi qui confère au président américain d’importants pouvoirs, comme celui de réglementer les transactions économiques lorsque l’état d’urgence nationale est déclaré. Ces deux lois sont centrales dans le régime de sanctions américain. D’abord utilisées pour cibler les Etats étrangers, elles sont de plus en plus souvent appliquées pour cibler les individus et notamment les cybercriminels. Par ailleurs, l’IEEPA avait permis au président Obama de déclarer, en avril 2015, l’urgence nationale pour faire face à la menace des cybercriminels. Dans son décret exécutif 13694, il consacre, en effet, l’interdiction formelle de contribuer financièrement ou de fournir des fonds à des personnes ayant des liens avec des activités cybercriminelles. C’est donc en tant que plateforme facilitant l’envoi de fonds à des cybercriminels que les institutions financières sont visées par le régime de sanctions de l’OFAC.
Du fait de l’anonymisation des auteurs d’un grand nombre d'attaques par rançongiciel, il est compliqué, pour les institutions financières de réellement savoir où ira la rançon qu’elles payent. Toutefois, l’OFAC indique, dans son avis, que le fait de ne pas savoir si le cybercriminel figure sur la liste Specially Designated Nationals and Blocked Persons List (SDN) n’épargne pas pour autant l'entreprise des sanctions. Ainsi, pour éviter de violer les recommandations de l’OFAC et s’exposer de fait à des amendes, il est nécessaire de mettre en place un programme strict de conformité. De même, ces institutions devraient également tenir compte de leurs obligations réglementaires envers le Financial Crimes Enforcement Network (FinCEN), qui a justement émis un avis sur le sujet. Le FinCEN est une agence américaine dont l’objectif est de protéger le système financier de pratiques illicites tel que le blanchiment d’argent ou le financement du terrorisme et de promouvoir la sécurité nationale des Etats-Unis par le biais de la collecte, l'analyse et la diffusion de renseignements financiers. Néanmoins, l’OFAC se réserve le droit d’étudier, avec une présomption de refus et au cas par cas, les demandes de paiements de rançons émanant d’entreprises victimes .
Vers la fin d’une couverture assurantielle contre les rançongiciels ?
Si l’objectif officiel des autorités américaines est de détruire le modèle de financement des cybercriminels, ce nouveau risque de sanction engendre des difficultés inédites pour les établissements financiers. Certaines institutions et plateformes financières aident, en effet, au processus de paiement de la rançon, en effectuant, par exemple, la conversion des fonds en crypto-monnaies et en facilitant l’envoi des fonds aux cybercriminels.
Avant cet avis, les compagnies d’assurance étaient nombreuses à conseiller à leurs clients de payer la rançon, d’une part car cela leur coûtait moins cher que de remettre en état les systèmes d’information, mais d’autre part car cela réduisait leurs coûts liés aux temps d'arrêt de leurs clients. Dans 96% des cas, le paiement de la rançon permet l’envoi d’une clé de déchiffrement et le recouvrement de 93% des données. Mais depuis cet avis, elles font face à un dilemme. D’un côté, les compagnies d’assurance peuvent décider de se conformer à l’avis de l’OFAC et de ne pas payer la rançon liée à un rançongiciel ; les actifs chiffrés par les cybercriminels seront donc perdus. Ces compagnies devront payer pour les actifs perdus ainsi que les dommages collatéraux, ce qui leur reviendra plus cher que de payer directement la rançon. De l’autre côté, elles peuvent opter pour le paiement de la rançon mais elles s'exposent de fait à des sanctions de la part de l’OFAC.
Il est ainsi fort probable que les organismes d’assurances décident de ne plus couvrir les dommages causés par les rançongiciels car cela ne sera plus rentable pour elles. Il sera donc davantage coûteux pour elles de couvrir ce risque dans la mesure où elles ne peuvent plus payer les demandes de rançon qui violent les directives des autorités américaines.
François-Joseph PITIOT pour le club Risques AEGE
Pour aller plus loin :