Le cyber-négociateur ne ressemble ni à un héros de série, ni à un gourou de la cybersécurité. Dans la réalité, son rôle consiste à entrer en contact avec des groupes criminels, à évaluer les dégâts qu’ils ont perpétré au sein des systèmes d’une entreprise, à mesurer les marges de manœuvre d’une victime et à tenter d’éviter le pire. À travers le témoignage de Geert Baudewijns, fondateur de Secutec, ce métier singulier montre surtout la professionnalisation des réseaux de ransomware, mais aussi les failles concrètes de la maturité cyber des entreprises.
Geert Baudewijns dirige Secutec, fleuron belge de la cybersécurité basé à Anvers et présent à l’international. Il dit avoir basculé vers la cyber-négociation presque par accident, en 2016, après un premier cas de ransomware touchant un proche. Il raconte avoir alors créé son premier compte de cryptomonnaie, avoir acheté Bitcoin, payé la rançon et récupéré la clé de déchiffrement une heure plus tard. Une semaine après, un deuxième cas confirmait que ce type de gestion de crise allait devenir un métier à part entière. Depuis, il a mené plus de 600 négociations, à un rythme de 3 à 6 par semaine aujourd’hui.
Une pratique forgée au contact répété des attaquants
« Mes clients principaux, ce sont les sociétés d’assurances », explique-t-il. Son rôle, ajoute-t-il, commence par une mise à plat de la situation lorsqu’un ransomware a été détecté. Qu’est-ce qui a été chiffré ? Qu’est-ce qui a été volé ? Existe-t-il une sauvegarde exploitable ? Cette phase de clarification révèle souvent à quel point, au moment d’une attaque, beaucoup d’entreprises découvrent qu’elles ne savent pas précisément ce qu’elles ont perdu, ni même ce qui a été exfiltré.
« Dans ces situations de crise, beaucoup de spécialistes donnent des avis, mais n’y connaissent rien. Car ils ne sont pas sur le terrain. Le monde de la cybersécurité est immense. Il y a beaucoup beaucoup de théorie, mais peu de pratique » déplore-t-il.
Les ransomwares fonctionnent comme un marché structuré
L’économie criminelle, elle, est parfaitement organisée. Geert Baudewijns explique que les criminels identifient un point d’entrée dans une entreprise, puis revendent cet accès à une organisation spécialisée dans le ransomware, pour une somme allant de 2 000 à 3 000 dollars, auxquels s’ajoute une part de la rançon pouvant aller de 10 à 20 %. « C’est un business bien organisé » confirme-t-il.
Le ciblage lui-même obéit à une logique économique. « Un hacker va toujours au plus facile », ajoute-il. Les structures de moins de 500 utilisateurs seraient, selon lui, les cibles prioritaires, tout simplement parce que les attaquants privilégient le volume et que les plus grosses structures sont mieux protégées.
Quant au montant de la rançon, il n’est arbitraire. Geert affirme que ces groupes savent ce que gagne l’entreprise, évaluent sa solvabilité et formulent souvent une demande qu’il juge, de son point de vue de négociateur, “correcte”. Les attaquants n’ont, en effet, pas de temps à perdre. Ils font donc un calcul froid, calibré pour maximiser les chances de paiement sans allonger inutilement la négociation.
Son témoignage montre aussi une évolution de la menace. Selon lui, les sauvegardes se sont améliorées, le niveau de protection a progressé et les entreprises ont gagné en maturité. Résultat, les attaquants chiffreraient moins systématiquement les systèmes et se concentreraient davantage sur le vol de données, avec menace de revente ou de publication sur le dark web. Et là encore, son constat est étonnant : « Les hackers se tiennent la plupart à leurs promesses. Au final, pour eux, c’est du business ». Dans les 600 cas qu’il cite, il affirme que le paiement de la rançon a toujours permis de résoudre la situation.
Car ce petit monde finit par se connaître. « Nous sommes une soixantaine de négociateurs officiels, accrédités par les assureurs », précise-t-il. « Et nous faisons souvent des deal ensemble. Nous nous connaissons et nous retrouvons aussi très souvent les mêmes sociétés de ransomwares sur les négociations ». Preuve que le ransomware est devenu un marché avec ses acteurs récurrents, ses équilibres, ses habitudes, presque ses relations d’affaires dévoyées. Geert évoque même des « combo-deal », menés avec d’autres négociateurs, pour « parvenir à payer 2 rançons pour que la 3ème soit gratuite ». Cela montre jusqu’où la logique transactionnelle a contaminé ce type de crise.
Ce que la négociation révèle de la maturité réelle des entreprises
Reste que, quand une entreprise est attaquée, elle ne se retrouve pas seulement confrontée à un problème technique. Elle fait face à ses propres lacunes organisationnelles. Quand Geert explique qu’il demande systématiquement aux attaquants l’arborescence des fichiers volés parce que la victime est incapable de la fournir, le diagnostic est sévère. Cela signifie que, dans certains cas, les criminels savent mieux que l’entreprise ce qu’elle héberge, ce qu’elle expose et ce qu’elle risque.
La décision de payer ou non n’est d’ailleurs pas binaire. Elle dépend de la sensibilité des données, de l’existence d’une sauvegarde et de la réalité de l’impact métier. Imaginez un sous-traitant de Renault frappé par un ransomware, avec toute une chaîne susceptible de s’arrêter et des milliers d’euros perdus. Selon Geert, dans la moitié des cas de ransomware, l’entreprise paie, car le manque à gagner de l’arrêt d’activité est largement supérieur au montant de la rançon. Il précise aussi que, parmi ceux qui paient, beaucoup disposent pourtant d’un backup, précisément parce que les données volées restent trop sensibles. Les autres, ceux qui n’ont pas de sauvegarde, paient.
L’autre leçon concerne l’éthique et la corruption potentielle autour de ce métier. Geert affirme être le seul dans son entreprise à exercer cette fonction, car les criminels tentent régulièrement de corrompre les négociateurs via des messageries comme Tox, qu’il décrit comme le “WhatsApp des criminels”. Ils proposeraient par exemple de gonfler artificiellement le montant de la rançon pour partager le surplus. Ce qui confirme deux choses. D’abord, que les groupes cybercriminels raisonnent comme des acteurs économiques capables de négocier, d’influencer et de corrompre. Ensuite, que la cyber-négociation est elle-même une zone à très haut risque moral. « Voilà pourquoi je ne veux pas que d’autres employés fassent ce job », dit-il.
Au fond, ce métier montre que les réseaux de ransomware fonctionnent avec méthode, spécialisation et discipline. Il montre aussi que la maturité cyber d’une entreprise ne se mesure pas au nombre de solutions déployées, mais à sa capacité à savoir ce qu’elle protège, ce qu’elle peut restaurer et ce qu’elle peut perdre.
