Le Royaume-Uni veut interdire les rançons aux hôpitaux et écoles

Le Royaume-Uni envisage une loi pour interdire aux écoles et hôpitaux de payer des rançons après des cyberattaques. Cette mesure vise à renforcer la cybersécurité et à décourager les criminels de cibler des infrastructures critiques.

Face à l’escalade des cyberattaques par ransomware, ZATAZ vous montre cette évolution alarmante depuis plus de 10 ans, le gouvernement britannique propose une réforme pour renforcer la cybersécurité nationale. L’objectif : interdire les paiements de rançons, à la suite de ransomware, par les hôpitaux, écoles et infrastructures critiques. Cette initiative s’inscrit dans une consultation publique visant à rendre le signalement des attaques obligatoire pour toutes les victimes, afin d’obtenir des données précises sur l’ampleur du phénomène. En agissant ainsi, le Royaume-Uni espère priver les groupes criminels de leurs sources de revenus tout en renforçant la résilience des institutions publiques. Inspiré de modèles étrangers comme celui de l’Australie, le projet de loi cherche à établir un cadre robuste de coopération entre les entreprises, les citoyens et le gouvernement face aux rançongiciels. Mais pour que ces efforts portent leurs fruits, il faudra garantir une plateforme de signalement efficace et des sanctions dissuasives pour les cybercriminels. Zoom sur une stratégie qui pourrait redéfinir la lutte contre les ransomwares.

La montée en puissance des ransomwares : un fléau mondial

Depuis cinq ans, les ransomwares, ces logiciels malveillants qui bloquent l’accès aux données jusqu’à paiement d’une rançon, se multiplient à un rythme inquiétant. Cette menace mondiale cible désormais de plus en plus les infrastructures critiques telles que les hôpitaux, les écoles et les administrations publiques. Le FBI émet régulièrement des alertes à ce sujet.

Les statistiques récentes montrent une augmentation annuelle des attaques de ransomware. Selon une étude de Cybersecurity Ventures, les coûts globaux des ransomwares pourraient atteindre 265 milliards de dollars d’ici 2031. Cependant, ces chiffres restent partiels, car de nombreuses victimes choisissent de garder le silence. Cette absence de signalement empêche les forces de l’ordre d’avoir une vue d’ensemble et limite leur capacité à traquer les cybercriminels.

Les organismes publics, notamment les hôpitaux et écoles, sont des cibles privilégiées en raison de leur dépendance critique à leurs systèmes informatiques. Une attaque peut paralyser un hôpital, mettant en danger des vies humaines, ou perturber l’éducation de milliers d’enfants. En 2021, une attaque majeure en Irlande a coûté 100 millions d’euros au système de santé publique, soulignant l’urgence d’agir.

La portée des ransomwares dépasse largement les frontières. Les groupes criminels opèrent souvent depuis des pays où les régulations sont faibles, rendant leur poursuite complexe. En Australie, par exemple, une législation oblige les entreprises réalisant plus de 3 millions de dollars de chiffre d’affaires à signaler les attaques, une mesure qui pourrait inspirer le Royaume-Uni. À l’heure actuelle, il n’existe pas de loi australienne qui interdise de façon explicite et générale le paiement d’une rançon en cas d’attaque par ransomware. En revanche, plusieurs points sont à prendre en considération. Les autorités australiennes, notamment l’Australian Cyber Security Centre (ACSC), déconseillent fortement de payer les rançons, car cela encourage la poursuite de ces attaques et ne garantit pas la récupération complète des données. Le gouvernement australien, dans son « Ransomware Action Plan » (publié en 2021), oblige la notification en cas de paiement, mais pas encore l’interdiction pure et simple de payer.

Les propositions du Royaume-Uni : une stratégie offensive contre les cybercriminels

Pour contrer cette menace croissante, le gouvernement britannique a dévoilé un plan ambitieux reposant sur plusieurs axes stratégiques : interdiction des paiements de rançons, signalement obligatoire des attaques, et renforcement des capacités des forces de l’ordre.

L’interdiction des paiements de rançons vise à rendre les institutions publiques moins attractives pour les cybercriminels. En coupant les sources de financement, le gouvernement espère dissuader les attaques futures. Cette mesure, cependant, pourrait soulever des questions éthiques, notamment en cas de mise en danger de vies humaines. Les autorités britanniques (NCSC, National Cyber Security Centre) ont également émis des recommandations fermes déconseillant le paiement, d’abord pour des raisons stratégiques (le paiement encourage les cybercriminels), mais aussi pour des raisons de conformité réglementaire (risque de violation des sanctions internationales).

Le projet de loi prévoit que toutes les victimes, qu’elles soient publiques ou privées, déclarent les incidents au gouvernement. Cette obligation permettra de recueillir des données cruciales sur les tendances et d’orienter les enquêtes policières. Une plateforme nationale de signalement sera indispensable pour centraliser ces informations et fournir un soutien immédiat aux victimes.

Le gouvernement souhaite également renforcer la supervision des paiements liés aux rançons. Les autorités auraient le pouvoir de bloquer tout transfert suspect, notamment vers des entités sous embargo. Cette approche proactive pourrait réduire les flux financiers alimentant les réseaux criminels.

Des consultations pour affiner le cadre légal

Avant d’adopter une législation définitive, le Royaume-Uni engage une consultation publique. Cette démarche vise à déterminer si les obligations doivent s’appliquer à l’ensemble de l’économie ou seulement à certains secteurs. Les retours permettront de calibrer la loi en fonction des besoins et des risques spécifiques.

Malgré ses ambitions, le projet de loi britannique doit relever plusieurs défis pour être pleinement efficace. Toutefois, il offre aussi des opportunités uniques de transformer la cybersécurité publique et privée. D’autant qu’il ne s’agit pas de la première approche sur le sujet. Le NCSC a toujours indiqué qu’il n’existait pas d’interdiction stricte de payer une rançon, mais décourage formellement cette pratique. De son côté l’Office of Financial Sanctions Implementation (OFSI) gère la mise en œuvre des sanctions financières au Royaume-Uni. Dans ses FAQ et bulletins, l’OFSI rappelle que tout paiement (y compris une rançon) à un individu ou une entité sous sanctions enfreint la loi britannique sur les sanctions et expose les payeurs à des poursuites. [Sanctions and anti-money laundering act 2018].

Bref, le succès de ces réformes dépendra largement de la capacité des forces de l’ordre à gérer un afflux massif de signalements. La plateforme nationale de signalement, actuellement en développement, devra être opérationnelle et accessible à tous. Par ailleurs, les autorités devront s’assurer que les sanctions dissuasives sont effectivement appliquées. L’interdiction des paiements pourrait inciter certains cybercriminels à adopter des tactiques encore plus agressives, comme le sabotage pur et simple des données. De plus, les organisations pourraient être tentées de contourner la loi en recourant à des canaux clandestins, rendant le problème encore plus difficile à surveiller.

Si le Royaume-Uni parvient à surmonter ces obstacles, il pourrait devenir un modèle pour d’autres nations. Des initiatives similaires pourraient voir le jour, renforçant la coopération internationale contre les ransomwares. Cela pourrait également encourager le développement de technologies innovantes pour prévenir les attaques. Aux USA, il n’existe pas de loi fédérale aux États-Unis qui prohibe de manière générale le paiement d’une rançon en cas de ransomware. En revanche, l’Office of Foreign Assets Control (OFAC) du Département du Trésor a publié des avis (advisories) indiquant que toute entreprise ou personne procédant au paiement d’une rançon à des groupes ou individus figurant sur les listes de sanctions (ex. groupes terroristes, gouvernements sanctionnés, etc.) s’expose à des poursuites et à des amendes. Par ailleurs, certains États (par exemple le Texas, la Caroline du Nord, la Floride) ont débattu ou mis en place des lois interdisant à certaines entités publiques (administrations locales, collectivités) de payer une rançon. Cela ne touche donc pas directement les entreprises privées ou les particuliers, mais vise à décourager toute transaction entre institutions publiques et cybercriminels. Le Texas a proposé en 2021 une loi pour empêcher les municipalités de payer les rançons. Les sources varient selon l’État, mais elles sont souvent consultables sur les sites législatifs des États.

Un enjeu économique et sociétal

Au-delà des coûts financiers, les ransomwares ont un impact psychologique et sociétal profond. La perte de confiance dans les institutions publiques et les entreprises peut avoir des conséquences durables. En prenant des mesures décisives, le gouvernement britannique envoie un message fort : la cybersécurité est une priorité nationale. En Europe, à ce jour, il n’existe pas non plus de directive générale qui interdirait explicitement le paiement d’une rançon après une attaque. Chaque État membre gère sa propre réglementation, mais tous restent soumis aux régimes de sanctions de l’UE vis-à-vis de certaines entités (groupes terroristes, pays sous embargo, etc.).

Au sein de l’UE, beaucoup d’autorités nationales et agences de cybersécurité déconseillent le paiement (par exemple, l’ANSSI en France) et rappellent qu’il peut exister des risques légaux si la rançon transite vers des personnes sous sanctions internationales ou liées à des activités terroristes.

Inscrivez-vous gratuitement à la newsletter de ZATAZ. Rejoignez également notre groupe WhatsApp et nos réseaux sociaux pour accéder à des informations exclusives, des alertes en temps réel et des conseils pratiques pour protéger vos données.