Ransomware en France : difficile de mesurer le phénomène
Comment évaluer la menace ransomware en France ? Si la mesure unique n’existe pas, l’analyse des plaintes recueilles par police et la gendarmerie permet d’appréhender l’ampleur du phénomène.
Jusqu’où peut-on mesurer la menace ransomware ? La tâche est délicate pour la puissance publique… et le dernier numéro de la revue Interstats en témoigne.
Selon le ministère de l’Intérieur, on ne dispose pas de chiffre précis, mais uniquement d’une fourchette. En l’occurrence, entre 1580 et 1870 procédures enregistrées sur la période 2016-2020 par les services de police et de gendarmerie nationales.
Aléa non spécifique aux ransomwares : l’estimation se fonde sur les faits portés à la connaissance de ces services. Les attaques ne donnent en effet pas systématiquement lieu à des plaintes. Aussi la Place Beauvau en appelle-t-elle, pour mieux évaluer la proportion de victimes, à des enquêtes complémentaires, auprès d’échantillons représentatifs. Véhicule suggéré : celle que l’Insee mène régulièrement au sujet des incidents de sécurité informatique dans le secteur privé.
Certains facteurs compliquant l’identification des attaques résident dans l’enregistrement même des procédures. Au-delà de la qualité des informations saisies, il existe des différences structurelles entre les bases de données de la police et de la gendarmerie.
La première a par exemple une variable « rançongiciel » que la seconde n’a pas pour caractériser le mode opératoire au niveau des infractions. En revanche, la saisie du champ textuel décrivant la manière d’opérer n’y est pas obligatoire. Les infos manquent d’ailleurs dans 83 % des procédures comprenant des victimes personnes morales de crimes et délits.
Ransomware : un concept juridique à définir
Quand bien même la manière d’opérer serait précisée, il manque parfois des éléments. En particulier la demande de versement d’une rançon. Ce qui peut conduire à ne pas qualifier comme telles des attaques par ransomware. À l’inverse, on peut erronément y assimiler d’autres types d’attaques*, dont les arnaques au faux support technique. Ce levier est toutefois plus souvent exploité auprès des personnes physiques… que l’étude du ministère de l’Intérieur ne prend pas en compte.
La centralisation systématique des enquêtes au niveau national par famille de ransomwares pose un autre problème dans le cas présent. Une fois transférées à partir des plaintes initiales, les procédures sortent du champ de l’étude. C’est, en outre, généralement à cet échelon que s’effectue l’identification des mis en cause. Si bien que le taux n’est que de 0,3 % au « premier niveau ». Sans compter le fait que les services de police n’enregistrent cette donnée qu’une fois une procédure close.
* Le rançongiciel n’a pas de qualification juridique propre. Dans la plupart des cas (ici, 82 %) a été retenue une infraction à système(s) de traitement automatisé de données. Fait que les articles 323-1 à 8 du Code pénal punissent d’un maximum de 10 ans de prison et 300 000 € d’amende. Parmi les autres qualifications possibles : extorsion (312-1 ; 7 ans et 100 000 €), chantage (312-10) et escroquerie (313-1).