Le Royaume-Uni est sur le point de prendre une mesure forte dans la lutte contre les rançongiciels. Le gouvernement britannique a lancé mardi une consultation proposant une « interdiction ciblée » des paiements de rançongiciels par les organisations du secteur public et les infrastructures critiques. Cette initiative vise à perturber le modèle économique des cybercriminels en les privant d’une importante source de revenus.

Une vague de cyberattaques contre le secteur public britannique

Cette proposition du gouvernement intervient après une série d’attaques informatiques ayant ciblé le secteur public britannique. L’an dernier, le NHS (système de santé publique) a déclaré un incident « critique » suite à une cyberattaque contre Synnovis, un fournisseur de laboratoires d’analyse pathologique. L’attaque a entraîné une violation massive de données sensibles de patients et des mois de perturbations, avec notamment des opérations annulées et des patients en urgence redirigés.

Selon de nouvelles données obtenues par Bloomberg, la cyberattaque contre Synnovis a nui à des dizaines de patients, causant des dommages à long terme ou permanents à leur santé dans au moins deux cas. Ces incidents soulignent la gravité de la menace des rançongiciels pour les services publics essentiels.

Les principales mesures proposées

Les propositions du gouvernement britannique prévoient :

• Une interdiction pour les organismes du secteur public (collectivités locales, écoles, hôpitaux…) de payer des rançons en cas d’attaque par rançongiciel
• L’instauration d’un délit pénal pour les organisations d’infrastructures critiques (énergie, télécoms…) qui paieraient une rançon
• Un régime de signalement obligatoire des incidents liés aux rançongiciels pour les victimes non concernées par l’interdiction
• Un programme visant à empêcher le paiement de rançons à des entités sanctionnées, que le gouvernement pourra bloquer

Avec environ 1 milliard de dollars versés aux cybercriminels en 2023, il est vital d’agir pour protéger la sécurité nationale, élément clé du Plan pour le changement du gouvernement.

– Dan Jarvis, ministre de la Sécurité britannique

L’ampleur de la menace des rançongiciels au Royaume-Uni

Selon les données communiquées par le Home Office (ministère de l’Intérieur), le National Cyber Security Center a géré 430 incidents cybernétiques au cours de l’année jusqu’en août 2024, dont 13 attaques par rançongiciel « d’importance nationale ». Ces attaques ont été majoritairement menées par des gangs criminels affiliés à la Russie et continuent de représenter une « menace immédiate et perturbatrice » pour les infrastructures critiques du Royaume-Uni.

En octobre 2024, la National Crime Agency a agi contre l’un de ces gangs, démasquant un affilié présumé du prolifique groupe de rançongiciels LockBit, lié à la Russie. LockBit avait été impliqué dans une précédente cyberattaque contre Advanced, un fournisseur de services informatiques du NHS.

Une tendance mondiale à durcir la réponse face aux rançongiciels

Si le Royaume-Uni n’a pas précisé s’il comptait soumettre cette mesure au Parlement, la consultation du Home Office doit s’achever en avril 2025. Cette initiative s’inscrit dans un contexte global de renforcement de la lutte contre les rançongiciels.

Aux États-Unis, le gouvernement fédéral déconseille depuis longtemps de céder aux demandes de rançon, mais s’est abstenu d’imposer une interdiction nationale pure et simple. Cependant, en octobre 2023, une alliance de plus de 40 pays menée par les États-Unis s’est engagée à ne pas payer de rançons aux cybercriminels, afin de les priver de leur principale source de revenus.

Face à la sophistication croissante des attaques par rançongiciel et à leurs conséquences potentiellement dévastatrices, il est crucial que les gouvernements adoptent une approche ferme et coordonnée. L’initiative du Royaume-Uni marque une étape importante dans cette direction, en envoyant un signal fort aux cybercriminels. Reste à voir si d’autres pays suivront cet exemple et comment ces mesures seront mises en œuvre concrètement.