Le gouvernement australien propose une loi obligeant les entreprises à déclarer les paiements de rançon pour accroître la transparence et réduire les attaques de ransomware.
Le gouvernement australien s’apprête à proposer une loi révolutionnaire en cybersécurité qui obligera les entreprises à déclarer les paiements de rançon aux hackers. L’objectif est de lever le voile sur les paiements secrets qui alimentent les attaques de ransomware, tout en apportant plus de transparence sur l’ampleur du problème.
En effet, comme ailleurs, les entreprises australiennes versent des sommes considérables en rançons, souvent dans l’ombre. Les attaques de ransomware se sont multipliées, notamment avec des incidents majeurs impliquant MediSecure, Optus et Latitude. Le rapport annuel 2022/23 de l’Australian Cyber Security Centre (ACSC) révèle une augmentation de cinq fois des attaques depuis la pandémie, avec des incidents signalés en moyenne toutes les six minutes.
Contenu de la Proposition de Loi
La loi obligerait les entreprises et entités gouvernementales à divulguer les paiements de rançon sous peine d’amendes. Une disposition cruciale, appelée “Limited Use Provision”, empêchera la diffusion de ces informations par l’Australian Signals Directorate (ASD) et l’Australian Cyber Security Centre (ACSC) sauf dans des circonstances limitées. L’objectif est de créer un climat de transparence sans stigmatiser les victimes.
Pour information, l’ASD (Australian Signals Directorate) est une agence gouvernementale spécialisée dans la collecte de renseignements électroniques et la cybersécurité. Elle joue un rôle clé dans la défense des réseaux et des infrastructures critiques de l’Australie contre les cybermenaces. L’ACSC (Australian Cyber Security Centre), quant à lui, est une initiative du gouvernement australien visant à améliorer la cybersécurité à travers le pays. L’ACSC collabore avec les secteurs public et privé pour répondre aux cyberincidents et renforcer la résilience des systèmes informatiques.
Par rapport à ce projet de loi, certaines organisations, notamment l’Australian Chamber of Commerce and Industry (ACCI), expriment des préoccupations, particulièrement concernant les petites entreprises. Le seuil de déclaration pour les entreprises avec un chiffre d’affaires annuel supérieur à 3 millions de dollars est jugé trop bas. L’ACCI propose de relever ce seuil à 10 millions de dollars pour alléger la pression sur les petites entreprises.
Perspectives et prochaines étapes
Les experts en cybersécurité estiment que ces changements équilibrent bien les enjeux, bien que certains appellent à un “safe harbour” qui offrirait une immunité contre les poursuites.
Le projet de loi devrait être présenté au parlement australien prochainement. S’il est adopté, il pourrait marquer un tournant dans la gestion des incidents de cybersécurité en Australie. Le projet comprend également des normes internationales pour les objets connectés, visant à rattraper des systèmes similaires aux États-Unis et au Royaume-Uni.
Pour en savoir plus
Australian Companies Will Soon Need to Report Ransom Payments
Significant upcoming legislation promises to tighten the screws on cyber incident response in Australia, mirroring CIRCIA in the US.
Australia wants companies disclose ransomware payments
he Australian government has long advised ransomware victims against paying ransoms, arguing that doing so does not guarantee receiving a decryption key and only encourages further criminal activity.