On ne cesse de le répéter, les ransomware, ces cyberattaques qui prennent en otage vos données, explosent dans le monde et en France depuis 2020. Et le ministère de l’Intérieur a visiblement du mal à suivre le phénomène. Son service statistique, Inter stats, publiait le 24 novembre 2021 un rapport sur les « Attaques par rançongiciel envers les entreprises et les institutions ». Une première.
Il s’agit de 9 pages de rapport où l’organisme décrit l’évolution de la menace à grand renfort de graphiques. Entre les lignes, et parfois de façon explicite, on constate la difficulté qu’a l’Intérieur à mesurer précisément l’augmentation des attaques par rançongiciels.
1. Un traitement non homogénéisé entre la police et la gendarmerie
Les ransomware ne sont la chasse gardée ni de la police, ni de la gendarmerie. L’action des deux forces du ministère de l’Intérieur est condensée dans ce rapport, mais les statisticiens pointent des problèmes d’homogénéisation dans le traitement des cyberattaques par rançongiciels.
Une page entière d’explication est dédiée à « Identifier les attaques par rançongiciel dans les procédures ». Concrètement, les auteurs expliquent leur démarche et sa limite. Ce recensement des attaques peut sembler aisé, mais bien au contraire : « Dans les bases de données de la police, il existe une variable permettant d’identifier le mode opératoire « rançongiciel » au niveau des infractions. Cette variable est donc directement exploitée pour repérer les procédures en lien avec des attaques par rançongiciel. Cette dernière n’a pas son équivalent dans les bases de la gendarmerie […]. » Une absence de nomenclature qui a obligé ici les auteurs du rapport à analyser le texte des différentes procédures.
2. Des descriptions manquantes dans 83 % des procédures de la police nationale
Plus inquiétant encore, « les manières d’opérer concernant les procédures comprenant des victimes personnes morales de crimes et délits sont manquantes pour 83 % des procédures de la police nationale et pour 2 % des procédures de la gendarmerie. » Comment expliquer l’absence aussi généralisée de ces détails essentiels ? « En police nationale, la saisie du champ textuel de la manière d’opérer n’est pas obligatoire dans le logiciel de rédaction des procédures. Ceci pourrait donc conduire à une sous-estimation du phénomène.»
Les manières d’opérer des pirates dans ce genre d’affaires (pas toujours revendiquées) sont pourtant les principaux indices qui permettent d’attribuer, puis de traquer les groupes cybercriminels. Une situation qui interroge plus largement sur la capacité des deux maisons à échanger efficacement dans ces affaires complexes.
3. Des statistiques partielles, par définition
Comme toutes les autres statistiques de la criminalité du ministère de l’Intérieur, ce rapport mesure les méfaits à travers l’activité policière. « Les données décrivent uniquement ce qui est connu des services de police et de gendarmerie. Les victimes ne
déposant pas plainte auprès des forces de sécurité à la suite d’une attaque par rançongiciel ne sont donc pas comptabilisées. », reconnait le texte.
Un biais statistique qui oblige à prendre une certaine distance avec la représentativité des chiffres. La mise en place du RGPD, la sensibilisation des organisations à ces menaces et la médiatisation du phénomène font leur œuvre dans le changement des pratiques, mais nombre de structures préfèrent encore cacher qu’elles sont victimes d’une cyberattaque comme un ransomware. Par peur des conséquences légales et médiatiques, ou tout simplement parce qu’elles préfèrent payer la rançon demandée par les cybercriminels et espérer retrouver leurs données.
4. Une centralisation nationale des enquêtes qui sème le flou
Un autre problème, plus étonnant, pointé par Inter stat, découle de la centralisation des enquêtes. Ces procédures techniques nécessitent des enquêteurs spécialisés, d’unités comme la BL2C pour la police nationale ou le C3N pour la gendarmerie. Des groupes qui participent souvent aux coups d’éclats menés par des coalitions internationales. Ils disposent de compétences spécifiques et centralisent les dossiers par type de rançongiciels.
Mais le rapport dévoile que « ces procédures transférées à partir des plaintes initiales sont hors du champ de l’étude », mis à part une détection partielle dans certains cas, à travers des bidouillages administratifs. Un constat quelque peu désarçonnant, surtout quand « sur l’ensemble des procédures (de l’étude, ndlr) en lien avec des rançongiciels, seules 0,3 % ont au moins un mis en cause enregistré ». Autant de faiblesses qui interrogent sur la pertinence de cette tentative d’inventaire statistique, encore partiel.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !