Coup double - Un groupe de cybercriminels dénonce ses victimes aux autorités américaines
novembre 2023 par Mark Molyneux, directeur technique EMEA chez Cohesity
Le 15 novembre, le groupe de pirates informatiques AlphV a ajouté l’entreprise MeridianLink à sa liste de victimes. L’attaque a probablement eu lieu le 7 novembre et le groupe a confirmé au portail d’information Databreaches qu’il avait signalé l’entreprise à la Securities and Exchange Commission (SEC) américaine.
Avec cette mesure, le groupe de ransomware AlphV a innové en montrant clairement les conséquences considérables auxquelles les entreprises peuvent désormais s’attendre en cas de piratage. Les entreprises victimes de cyberattaques pourraient bientôt se retrouver dos au mur avec un choix difficile à faire : payer la rançon aux cybercriminels, ou subir une amende considérable de la part de la SEC.
« Il s’agit en fait d’une attaque de ransomware à quatre étapes : chiffrer les données, les exfiltrer et les publier, harceler les personnes concernées et, enfin, les signaler à l’autorité de régulation », explique Mark Molyneux, directeur technique EMEA chez Cohesity.
Le délai de 4 jours pour déclarer une cyberattaque à la SEC comprend la compilation de données précises sur le cyberincident, ce qui n’est pas chose aisée en temps de crise, d’autant que les cybercriminels, eux, ont toutes les données relatives à la cyberattaque, ce qui leur donne un avantage certain sur le dépôt du dossier à la SEC.
« Les entreprises disposent déjà d’un délai très court pour enquêter sur le cyberincident, évaluer les données qui ont été compromises et fournir un rapport précis à l’autorité de régulation. Les acteurs de la menace ayant désormais la volonté de signaler eux-mêmes la violation, avec des preuves des données effectivement chiffrées ou exfiltrées, les entreprises seront de plus en plus contraintes d’indexer, de classer et de sécuriser les données de manière à pouvoir elles-mêmes fournir un rapport précis, mais surtout à savoir ce qui a été perdu et comment le remplacer rapidement à partir de leur système de coffre-fort. » conclut Mark Molyneux.
En France, depuis le 24 avril 2023, la loi d’orientation et de programmation du ministère de l’Intérieur (Lopmi) impose aussi aux entreprises victimes de cyberattaques par rançongiciel de déposer plainte dans les 72 heures si elles souhaitent bénéficier d’une assistance et d’un remboursement d’une cyber-rançon par leur assurance. Pas d’amende en cas de manquement donc, mais l’impossibilité de bénéficier d’une assurance. Aussi, il ne faut pas oublier que la SEC peut infliger des amendes à toutes les sociétés cotées en bourse aux Etats Unis, américaines ou non.