Bien qu’il s’agisse de l’une des plus anciennes méthodes d’attaque, avec 36 bougies cette année depuis qu’il a commencé à faire des victimes, le ransomware est toujours très répandu et très effrayant.
Selon l’ACN, l’agence nationale de cybersécurité, l’Italie est le troisième pays de l’Union européenne, après l’Allemagne et la France, le plus touché par les attaques de ransomware et le sixième au niveau mondial.
Les victimes préférées des pirates sont les petites et moyennes entreprises, surtout dans la partie nord du pays, la plus productive, et, en particulier, les entreprises qui n’ont pas encore développé une culture de la cybersécurité adaptée au risque actuel.
Une situation si grave qu’elle met en péril la sécurité nationale, comme le souligne le rapport 2025 sur la politique de sécurité de l’information, étant donné que les attaques de ransomware sont également de plus en plus utilisées à des fins d’espionnage et de sabotage par des acteurs liés à des États.
Pour ces raisons, le paysage réglementaire italien contre les cyberattaques sera probablement bientôt doté d’un autre outil : un nouveau projet de loi présenté le 20 mars à la Chambre des députés par Matteo Mauri (PD) et qui vise à renforcer la structure défensive de notre pays contre les cyberattaques et les ransomwares en particulier.
Le cœur du projet de loi, qui consiste en un article unique déléguant au gouvernement le soin d’intervenir par décrets législatifs dans un délai de six mois, est l’interdiction du paiement de rançons et l’obligation d’informer le CSIRT dans un délai de six heures. En outre, des mesures de renseignement et une task force nationale sont envisagées, ainsi qu’un fonds pour les entreprises touchées.
Concrètement, il s’agit des neuf lignes directrices de base définies dans la norme.
- Interdiction du paiement de rançons pour les personnes incluses dans le périmètre de cybersécurité. L’interdiction ne peut être levée que par un acte du Premier ministre en cas de risques graves pour la sécurité nationale.
- Obligation de notifier le CSIRT Italie dans les six heures suivant la découverte d’une attaque par ransomware, avec des sanctions administratives en cas de non-respect. Le CSIRT devra à son tour informer la police postale, l’autorité de contrôle (DORA) et, le cas échéant, le ministère de la défense.
- Qualification de l’attaque en tant que menace pour la sécurité nationale et possibilité pour le Premier ministre d’activer des mesures de cyberespionnage même en l’absence de crise manifeste.
- Activités d’infiltration de la police sur les réseaux informatiques à l’étranger dans le cadre d’enquêtes sur la cybercriminalité.
- Plan d’action national d’ACN, avec des mesures opérationnelles et préventives pour soutenir les victimes, en particulier les PME et les AP locales. Les actions comprennent : l’assistance pour faire face à l’attaque, l’endiguement, la restauration des systèmes et l’évaluation des alternatives au paiement de la rançon.
- Mise en place d’une task force nationale anti-ransomware au sein du CSIRT Italie, avec des fonctions de coordination opérationnelle, de partage d’informations et de soutien aux victimes.
- Des incitations économiques à ACN pour la mise en œuvre des mesures prévues.
- Création du « Fonds national de réponse aux attaques par ransomware », destiné à soutenir les entités publiques et privées dans la compensation, même partielle, des pertes économiques subies à la suite d’une attaque. L’accès au fonds ne sera possible que pour ceux qui démontrent qu’ils ont correctement notifié l’incident et suivi les directives opérationnelles de l’ACN.
Ransomware : histoire et évolution du prince des attaques
En 1989, lors d’une conférence sur le sida, un biologiste nommé Joseph Popp a distribué aux personnes présentes une disquette contenant un rançongiciel appelé PC Cyborg Trojan et rebaptisé AIDS Trojan. Ce logiciel chiffrait les noms de fichiers à l’aide d’une méthode de cryptage et demandait une rançon de 189 dollars.
C’est ainsi qu’est né le ransomware il y a 36 ans. Depuis, il n’a cessé d’évoluer, faisant de plus en plus de victimes et devenant l’un des principaux croquemitaines du web.
Il s’agit d’un logiciel malveillant qui infecte les ordinateurs et rend les données inaccessibles dans le but de demander une rançon pour les restaurer. Comme son nom l’indique, « ransom » signifie « rançon » en anglais.
La menace arrive généralement par le biais d’e-mails, déguisés en communications officielles, qui incitent les utilisateurs, généralement des employés ou des collaborateurs d’une entreprise ou d’une organisation, à télécharger des pièces jointes ou à cliquer sur un lien. Cette action installe un logiciel qui agit en arrière-plan, empêchant l’utilisateur d’accéder aux fichiers de l’ordinateur ciblé au moyen d’un blocage cryptographique.
Du point de vue des criminels, il s’agit d’une action relativement facile, rentable et donc très attrayante.
Pour les entreprises, en revanche, le préjudice est énorme, car outre la rançon proprement dite, les victimes doivent compter avec l’interruption de leur activité, la perte ou l’endommagement de leurs données, qui ne sont souvent pas restaurées malgré le paiement de la rançon, et, enfin, l’atteinte à leur réputation.
Selon le nouveau rapport Ransomfeed offrant une analyse détaillée des tendances mondiales en matière de ransomware, les réclamations mondiales de ransomware au deuxième trimestre 2024 se sont élevées à 1 747.
Parmi ces attaques, 58 concernaient l’Italie et représentaient un peu plus d’une attaque par ransomware tous les deux jours, soit une augmentation de près de 100 % par rapport au deuxième trimestre 2022.
Le poids économique des cyberattaques
Le coût moyen d’une violation de données en Italie, selon le récent rapport Cost of a Data Breach Report 2024 d’IBM, s’élève à 4,37 millions d’euros.
Les secteurs de l’industrie manufacturière, des soins de santé et des services publics sont parmi les plus touchés. L’augmentation des attaques a rendu encore plus évidente la fragilité de l’infrastructure numérique de l’Italie.
Malgré la croissance et la sophistication accrue des attaques, ce qui ressort des rapports des chercheurs est néanmoins un manque inquiétant de sensibilisation aux cybermenaces, tant au sein des entreprises que des institutions publiques.
Un manque de sensibilisation qui se traduit par des réponses inadéquates et des retards dans la prise de mesures de sécurité efficaces.
En plus des dommages, il y a aussi l’amende
En Italie, outre les dommages susmentionnés, les victimes de ransomware sont également soumises à des sanctions en vertu d’une disposition publiée en 2022 par le Garante per la protezione dei dati personali. Les organisations sont ainsi averties qu’elles doivent mieux s’équiper en matière de protection des données et de gestion des cyberrisques.
Comment se défendre
Pour se défendre contre ce type d’attaque, des mesures techniques sont certainement utiles.
Parmi ceux-ci, les plus importants sont les stratégies de sauvegarde, la bonne gestion des identifiants d’authentification et l’installation de systèmes de surveillance et d’anti-intrusion pour détecter rapidement toute « infection ».
Cependant, étant donné que le ransomware est une méthode d’attaque qui exploite l’élément humain en tirant parti de la vulnérabilité, de la distraction, de l’émotivité et, en général, de l’absence d’une posture numérique appropriée, il est impératif que les entreprises et les organisations investissent aujourd’hui dans d’excellents cours de formation qui sont continuellement mis à jour et comprennent des exercices pratiques et des formations personnalisées.
L’objectif est de faire passer le « facteur humain » du statut de maillon le plus faible de la chaîne à celui de premier facteur de défense.
