Ransomware : comment travaille un négociateur professionnel ?
![Image [Rédaction d’une PSSI :] les salariés soulignent le manque d’implication de la direction](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-management-direction-human-rh-885x690.jpg)
![Image [Forum InCyber 2024] Comment l’[IA générative] va « augmenter » le SOC](https://incyber.org//wp-content/uploads/2024/03/incyber-news-threat-cybersecurite-cybersecurity-885x690.jpg)
![Image France : création d’une « Ligue pour la sécurité du [Web3] »](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-web3-exploration-2024-885x690.jpg)
Les échanges avec les cybercriminels ressemblent beaucoup à ceux menés en cas de kidnapping.
Le journaliste Bogdan Bodnar a rencontré, pour un article publié le 29 décembre 2023 dans Numerama, un expert de la négociation avec les cybercriminels, Mike. Il travaille pour une société de gestion de crise spécialisée dans la discussion avec les criminels, en cas de prise d’otage, de kidnapping et, depuis 2016, de cyberattaque, en particulier par ransomware.
Mike détaille les rouages de son métier. Le négociateur commence toujours par identifier les cybercriminels auxquels il a affaire, leur mode opératoire, leurs habitudes, leurs réactions passées. La seconde étape est un état des lieux de la situation.
« Rappelons que la règle est de ne pas payer les pirates, on doit donc s’assurer que tout soit mis en œuvre pour éviter cette finalité. Il faut à la fois être rapide, puisque le temps d’arrêt fait perdre de l’argent, et précautionneux, pour comprendre clairement ce que le pirate détient. Une fois que l’examen complet a été réalisé, on se pose l’ultime question : sommes-nous obligés de payer la rançon ? », indique Mike.
La négociation proprement dite peut alors commencer. L’expert conseille aux victimes de ne pas dialoguer elles-mêmes avec les cybercriminels pour éviter de leur donner un ascendant. « Lorsque nos experts se lancent dans une négociation, ils agissent (…) comme si une vie était en jeu. Les échanges sont parfois très similaires à ceux d’un kidnapping », précise Mike.
L’expert explique que les gangs de ransomware ont en général des méthodes de dialogue rodées et prévisibles. « Ils travaillent comme des entreprises, et dans les échanges, vous comprenez qu’ils ont une personne dédiée à la négociation en anglais par exemple. (…) S’il n’y pas une certaine rigueur dans les discussions et les résultats que l’on peut en tirer, personne ne voudra payer, car on ne pourra leur faire confiance », indique-t-il.
« Le dialogue reste courtois et assez professionnel. Nous ne dévoilerons pas les arguments que nous avançons face aux hackers pour éviter qu’ils anticipent nos négociations », conclut l’expert.