En miroir de la NIS2, l'ANSSI américaine s'interroge sur les ransomwares

Chargée d’établir un cadre de signalement des attaques par ransomware, la CISA en questionne encore de multiples aspects.

Faut-il mettre sur le même plan les risques « imminents » et les risques « réels » ? Quand peut-on considérer qu’un paiement a été « réalisé » ? Par quels canaux faire ses signalements aux autorités ? Autant de questions que la CISA devra trancher pour implémenter le CIRCIA (Cyber Incident Reporting for Critical Infrastructure Act).

Ce texte ratifié en mars 2022 impose à certaines entités de signaler à l’ANSSI américaine les incidents cyber qu’elles subissent. Ainsi que les paiements qu’elles effectuent en réponse à des attaques par ransomware.

Le CIRCIA donnait deux ans à la CISA pour émettre un avis de projet de réglementation. Celle-ci s’est exécutée, au bout du délai imparti. Elle a désormais 18 mois pour finaliser sa proposition, soumise à consultation publique.

Certains éléments sont gravés dans le marbre, à l’image des 24 heures données aux entités concernées pour signaler les paiements de rançons. D’autres suscitent davantage de débat. Parmi eux, donc, le moment à partir duquel courra ce délai de 24 heures.
Le droit américain présente diverses approches en la matière. Tantôt, un paiement est « réalisé » au moment de l’envoi/du transfert. Tantôt, il l’est lors de la réception ou de la mise à disposition du bénéficiaire. Il arrive par ailleurs que les règles varient avec la méthode de paiement.

Transmission automatisée : non pour le moment

La CISA propose de retenir la première option, pour deux raisons principales. D’un côté, il est plus simple pour une entité de déterminer le moment d’envoi que celui de la réception ou de la mise à disposition. De l’autre, cela permet à la CISA d’obtenir les signalements dans de meilleurs délais.

Pour ce qui est des canaux de signalement, l’ANSSI américaine écarte aussi bien l’e-mail que le téléphone. Autant pour des questions de sécurité que de travail de réconciliation. Elle compte explorer la transmission automatisée par API. Mais ne la recommande pas en l’état actuel, préférant concentrer ses « ressources techniques et financières finies » sur le développement d’un formulaire web.

Quant à déterminer quelles entités soumettre au CIRCIA, il y a là aussi encore débat. Exemple dans le secteur de la santé. La CISA considère qu’il n’est ni prudent ni économiquement viable d’imposer des signalements à chaque fournisseur direct de soins (cliniques, cabinets médicaux, centres de chirurgie…). Et conseille de se concentrer sur les hôpitaux.

C’est quoi, une « attaque par ransomware » ?

Des portes restent ouvertes sur la définition même d’une attaque par ransomware. D’après le Code des États-Unis, elle englobe les incidents qui incluent :

– L’usage ou la menace d’usage de code non autorisé ou malveillant sur un SI
– L’usage ou la menace d’usage d’un autre mécanisme numérique tel que le déni de service, pour interrompre ou perturber le fonctionnement d’un SI ou compromettre la confidentialité, la disponibilité ou l’intégrité de données électroniques stockées sur, traitées par ou transitant par un SI, afin d’extorquer une rançon

La CISA propose d’utiliser cette définition en remplaçant le terme « incident » par sa définition telle qu’on la trouve dans ce même Code. Nommément, « une occurrence qui pose un danger réel ou imminent […] pour l’intégrité, la confidentialité ou la disponibilité d’informations sur un SI […] ou d’un SI ».

L’ANSSI américaine a envisagé d’utiliser « incident cyber » au lieu du mot « incident ». Elle y a finalement renoncé. Son raisonnement, dans les grandes lignes :

– Le CIRCIA a retiré la notion de « danger imminent » de la définition de l’« incident cyber ».

– Le Congrès semble avoir intentionnellement utilisé « incident » plutôt qu’« incident cyber » dans sa définition de l’attaque par ransomware. Possiblement pour rendre compte du fait qu’une telle attaque peut impliquer l’extorsion d’une rançon sur la base d’une simple menace.

– Une modification importante de la définition de l’attaque par ransomware réduirait le périmètre des paiements à signaler. En outre, des définitions similaires pour « incident » et « incident cyber » entraîneraient une confusion.