Geert Baudewijns (Secutec) : « La cybernégociation sert à cadrer la situation très tôt »

Ancien collaborateur de John McAfee, aujourd’hui à la tête de Secutec, Geert Baudewijns s’est imposé au fil des années comme l’un des rares spécialistes européens de la cybernégociation. Entré dans cet univers en 2016 par hasard, il revendique aujourd’hui plus de 600 négociations menées. Dans cet entretien, il décrit un métier mal compris, expose les logiques réelles de la négociation et détaille l’évolution d’un écosystème criminel devenu plus structuré, plus rapide et davantage tourné vers l’exfiltration de données que le seul chiffrement.

Comment êtes-vous entré dans la cyber-négociation ?

J’ai commencé ma carrière en 1999 en travaillant pour John McAfee. J’ai créé quelques années plus tard ma propre entreprise, qui emploie aujourd’hui 120 personnes réparties dans plusieurs bureaux à travers le monde. L’activité de cyber-négociation est arrivée plus tard, en 2016, presque par accident. Mon oncle avait été victime d’une cyberattaque et il fallait gérer la situation. À l’époque, je ne connaissais strictement rien à ce milieu, mais il fallait que je l’aide.

Dix ans plus tard, j’ai mené plus de 600 négociations. C’est un métier très rare. Nous sommes peu nombreux à disposer d’une vraie expérience pratique et encore moins nombreux à en parler publiquement. Beaucoup interviennent sans communiquer dessus, ce que je peux comprendre, car cela reste un univers à part.

Qui fait appel à vous concrètement ?

Aujourd’hui, mes clients directs sont essentiellement des compagnies d’assurance. Je travaille avec quatre d’entre elles. Lorsqu’une entreprise est victime d’une cyberattaque, elle contacte son assureur dans un délai généralement très court, de l’ordre de 24 heures. L’assureur décide systématiquement de faire intervenir un négociateur pour prendre la température du dossier, estimer les montants en jeu et comprendre jusqu’où la crise peut aller.

La négociation sert donc très tôt à cadrer la situation. Elle ne vise pas seulement à discuter un prix. Elle permet aussi d’apporter à l’assureur et à la victime une lecture plus précise du risque, du calendrier et des options qui existent réellement.

Négocier ne signifie donc pas nécessairement payer ?

Non, absolument pas. C’est d’ailleurs un point essentiel. Beaucoup de personnes imaginent qu’ouvrir un canal de communication avec des pirates informatiques revient déjà à préparer un paiement. Ce n’est pas vrai. Aujourd’hui, environ 50 % des communications que j’ouvre se terminent par un paiement. Cela signifie qu’une fois sur deux, la négociation remplit d’autres fonctions.

Comment entre-t-on concrètement en contact avec l’attaquant ? Est-ce lui qui amorce la communication ?

Dans la pratique, le canal existe déjà presque toujours au moment où la victime découvre l’attaque. Les attaquants ont généralement laissé un point de contact sur la page dédiée à la rançon, souvent accessible via Tor, avec une interface dédiée qui sert de base à la négociation. C’est le cas des groupes les plus structurés. Pour les profils plus amateurs, les échanges peuvent aussi passer par des adresses mail classiques, parfois via des services sécurisés.

Dans la grande majorité des cas, les discussions restent donc écrites. Nous ne sommes pas au téléphone. Nous échangeons soit sur leur plateforme, soit par messagerie. Une négociation classique représente aujourd’hui entre 150 et 250 lignes de dialogue. Le plus souvent, c’est donc l’attaquant qui a déjà posé le cadre de départ en laissant ses instructions et son canal de contact. Ensuite, nous entrons dans cet espace pour ouvrir la discussion, faire préciser ce qu’il réclame, vérifier ce qu’il détient réellement et commencer à reprendre progressivement la main sur la négociation.

Qu’est-ce qu’une négociation permet d’obtenir très concrètement ?

La première chose, c’est souvent la liste des données volées. Et, dans la pratique, il m’est beaucoup plus facile de demander cette information aux cybercriminels que de demander à la victime de la reconstituer à partir de ses systèmes. Jusqu’à présent, je n’ai encore jamais vu une victime capable de me fournir seule une vision complète de ce qui a été exfiltré.

Ensuite, nous cherchons la root cause, c’est-à-dire la cause initiale de l’intrusion. C’est important pour la compréhension de l’attaque et pour la suite. Nous demandons également des preuves. Par exemple, lorsque les attaquants nous transmettent une liste de fichiers, je demande à la victime d’en sélectionner quelques-uns. Puis je les réclame aux cybercriminels. Lorsqu’ils nous les renvoient, cela permet de vérifier que nous parlons avec les bons interlocuteurs et qu’ils sont bien en possession des fichiers qu’ils prétendent détenir.

En quelques années, l’écosystème ransomware a-t-il beaucoup évolué ?

La spécialisation a énormément progressé. Aujourd’hui, les groupes les plus professionnels ressemblent à de véritables organisations. Certaines comptent dix personnes, d’autres 200, voire 250. Et surtout, ces organisations ne se chargent pas nécessairement de créer elles-mêmes l’accès initial au système d’information de leur future victime.

Cet accès est souvent acheté à d’autres acteurs spécialisés. Certains exploitent une vulnérabilité précise. D’autres diffusent des infostealers, ces petits logiciels capables de récupérer des mots de passe ou d’autres informations utiles. Ensuite, l’accès initial est revendu. Et c’est là qu’un changement important est intervenu. Avant, il pouvait être vendu une seule fois avec l’espoir de toucher une part du montant de la rançon. Aujourd’hui, comme de moins en moins d’entreprises paient et que les montants diminuent, beaucoup de pirates informatiques préfèrent vendre le même accès trois ou quatre fois, très vite, à plusieurs groupes différents.

Quel effet cela produit-il sur la négociation ?

Cela accélère tout. Les groupes savent qu’ils sont en concurrence avec d’autres. Ils veulent donc aller beaucoup plus vite. Là où une négociation pouvait durer dix ou quinze jours il y a quelques années, elle doit désormais aboutir en trois ou quatre jours. Le rythme a changé.

Nous voyons aussi que leur niveau de professionnalisation a nettement progressé. Il y a huit ou neuf ans, leurs infrastructures étaient souvent plus fragiles. Aujourd’hui, ce n’est plus le cas. Leur organisation est beaucoup plus solide et leur manière de travailler beaucoup plus rigoureuse.

Pourquoi les entreprises victimes paient-elles moins qu’avant ?

Parce qu’elles sont mieux préparées. Les réseaux sont mieux protégés et les sauvegardes ont beaucoup progressé. Il y a plusieurs années, le chiffrement constituait souvent le point de blocage principal. Aujourd’hui, dans beaucoup de cas, les victimes savent restaurer depuis un backup qui n’a pas été atteint.

Le centre de gravité a donc bougé. Le vrai levier des attaquants, ce n’est plus seulement le chiffrement. C’est l’exfiltration de données et la menace de publication. Aujourd’hui, dans une grande majorité des cas, la principale inquiétude de la victime ne concerne pas la remise en route technique, mais la diffusion de données sensibles sur le darknet.

Comment se prend alors la décision de payer ou non ?

C’est une décision purement économique. En moyenne, une entreprise est à l’arrêt pendant 24 jours en cas de ransomware. Elle doit donc s’interroger : est-ce que cela ne lui coûte pas moins cher de payer la rançon rapidement plutôt que de voir ses activités paralysées ?

Il faut donc poser les deux scénarios de manière très concrète. Si vous payez, nous allons vers tel montant, tel calendrier et tels livrables attendus. Si vous ne payez pas, il faudra tant de temps, de moyens et d’efforts de reconstruction. Mon rôle consiste à mettre ces éléments à plat et à essayer, si une négociation s’engage, de faire baisser le montant payé pour arriver à quelque chose que la victime puisse considérer comme acceptable.

Ce qui compte, c’est de raisonner en termes de sortie de crise. Il faut aussi synchroniser la négociation avec le travail technique mené en parallèle. La plupart du temps, dès que les attaquants ont pris contact avec l’entreprise victime, une équipe se met à reconstruire un nouveau réseau. La négociation doit atterrir au bon moment. Cela n’aurait aucun sens d’obtenir une clé de déchiffrement si, en parallèle, l’environnement n’était pas prêt ou si la reconstruction suivait un autre calendrier.

Vous décrivez un métier exposé. Jusqu’où va cette exposition ?

Cette exposition va très loin. Les cybercriminels savent parfaitement qui je suis et ce que je fais. Et il y a un point dont on parle peu : les tentatives de corruption. Très souvent, lorsque la discussion avance, les attaquants proposent de sortir du canal officiel pour passer sur un autre canal, par exemple sur Tox. Là, ils peuvent dire très clairement : « Si votre client veut payer 500 000 dollars, faites-le monter à 700 000 et vous prendrez une part de la différence ».

C’est précisément pour cette raison que je reste le seul à négocier dans mon organisation. Si vous exposez un salarié classique à ce type de proposition pendant plusieurs mois, vous ouvrez une boîte de Pandore. Je ne veux pas prendre ce risque.

Qu’est-ce que ces négociations vous apprennent sur les causes réelles des attaques ?

Elles montrent d’abord que les explications publiques sont souvent très incomplètes. Plus de 90 % des entreprises victimes ne partagent presque rien ensuite. Et lorsqu’elles disent quelque chose, elles invoquent souvent le phishing. Or, dans une entreprise un minimum structurée, un utilisateur standard ne dispose pas des droits suffisants pour installer un logiciel sur un serveur. La réalité est donc souvent plus complexe.

Mon avantage, c’est d’être dans le cockpit des négociations et de voir les causes racines réelles. C’est sur cette base que nous avons développé de nouveaux produits de sécurité. Le problème, c’est que les victimes ont honte. Elles ne racontent pas ce qui s’est réellement passé. Résultat, les autres entreprises n’apprennent pas et les criminels conservent un avantage informationnel.

Qu’est-ce qui vous paraît le plus mal compris dans votre métier ?

L’idée qu’il faudrait raisonner uniquement en termes de pureté morale. Il est très facile, depuis l’extérieur, de dire qu’il ne faut jamais payer. Mais lorsqu’une victime se trouve en pleine crise, avec une activité à l’arrêt, des données potentiellement exfiltrées et une forte pression, il faut d’abord l’aider à comprendre ses options.

Un bon négociateur doit rester rationnel. Il ne doit jamais basculer dans l’émotionnel, parce que c’est précisément ce que les attaquants cherchent à provoquer. Bien sûr, il y a du stress, surtout lorsque les montants dépassent 500 000 ou un million de dollars. Mon travail consiste aussi à reprendre une partie du stress du client, à lui dire : « C’est mon métier, je fais cela tous les jours, nous allons regarder ce qui est possible ». Je ne promets jamais de certitude. Dans ce métier, il n’y en a pas. Mais nous pouvons au moins donner à la victime une lecture lucide de la situation et essayer de l’amener vers l’issue la plus favorable possible.