La DFCG, avec le groupe Euler Hermes, organise un rendez-vous le 15 septembre 2021 sur cette calamité qui pèse de façon croissante sur les entreprises : la cybercriminalité, notamment par la technique du rançonnage. Les réseaux criminels se sont engouffrés à plein dans cette activité très lucrative, avec une rentabilité stupéfiante et jusqu’à présent relativement à l’abri de la répression policière.

Comparez le cyber-rançonnage au rapt avec demande de rançon. (Je tire cette comparaison efficace d’une tribune du New-York Times sur le sujet.) Les forces de police estiment que seulement de l’ordre de 3 à 5% de tels rapts finissent impunis pour leurs perpétrateurs. Il leur faut en effet passer ce moment délicat de la remise physique des fonds contre celle de l’otage. Le paiement de la rançon pourra éventuellement se faire via cryptoassets, du type Bitcoin, mais il reste l’incontournable livraison « physique » de la personne  Pour le rançonnage, rien de « physique », on peut le faire de n’importe où, avec un clavier et un lien internet. Les fonds transitent de façon (quasi) non traçable via un cryptoactif. Car c’est le paradoxe des cryptoactifs type Bitcoin d’assurer une traçabilité totale des transactions sur l’actif en question, mais une opacité quasi-complète sur les initiateurs des transactions.

Face à ce risque majeur pour les entreprises, sensibiliser les gens et sécuriser les réseaux informatiques est indispensable. Mais un autre moyen reste encore insuffisamment exploré : attaquer le problème au porte-monnaie, c’est-à-dire rendre plus difficile le transfert des fonds.

 

Lire aussi : Faire de la cybersécurité un levier de croissance pour les entreprises

 

Une régulation naissante

Aujourd’hui est à peu près en place les régulations sur le blanchiment d’argent et du financement du terrorisme (BA/FT). Mais elles sont loin encore de s’appliquer au sujet spécifique des cryptoactifs. Et on s’interroge encore pour savoir si ces régulations suffisent dans le cas d’espèce. On renvoie ici à un papier récent de la Banque des règlements internationaux qui fait un topo utile. Voir : Supervising cryptoassets for anti-money laundering. Le constat à ce jour :

Il reste beaucoup à faire en matière de mise en œuvre.

La plupart des pays ont réalisé ou sont en train de réaliser une évaluation nationale des risques au titre du blanchiment d’argent et du financement du terrorisme (BA/FT). Ces évaluations concluent largement que les risques associés aux cryptoactifs sont relativement élevés ou ont augmenté au cours des dernières années.

Les actions de répression restent limitées en nombre et ont été entreprises par très peu de juridictions, ce qui laisse une marge d’amélioration.

Certaines juridictions ont banni tout ou partie des usages des cryptomonnaies, ceci allant de l’interdiction d’en faire la publicité à l’interdiction pure et simple comme en Chine. La plupart des pays ont décidé d’un statut de Fournisseur de service de cryptoactifs (FSC ou CSP en anglais). Mais quelques pays seulement ont explicité ce que signifie ce statut. Il diffère de celui de FSP ou fournisseur de service de paiements, en ce qu’il ne sert pas qu’à faire des transactions mais aussi de la gestion d’actifs. (Ne pas oublier que les cryptoactifs comme le Bitcoin ne sont pas de la monnaie, mais bien plutôt des actifs financiers.)

Un FSC est donc tenu de réaliser des diligences sur ses clients nouveaux et existants (le fameux KYC ou Know your customer), de faire des contrôles internes en cohérence avec ce que requiert le BA/FT et  de reporter les cas douteux au régulateur. Mais il manque l’essentiel selon le document cité, qui est le respect de la « Travel rule », à savoir des règles qui s’appliquent au transfert même des fonds, obligeant le FSC à détenir des informations sur l’originateur, le bénéficiaire final et l’intermédiaire de la transaction.

Aujourd’hui donc, on peut dire que les FSC d’un côté, et les banques et autres FSP de l’autre ne sont pas dans le même cadre réglementaire, ceci dans un contexte technologique extrêmement mouvant. (Soit dit en passant, la rapidité de ces avancées techniques dans le domaine des paiements met la régulation toujours en retard et dans le train suivant. On parle à présent de SupTech, à savoir la venue de nouveaux acteurs agiles et sophistiqués permettant aux régulateurs d’aller à la vitesse de ceux qu’ils sont censés réguler.)

Dans les domaines des cryptoactifs, le potentiel est considérable. Ces actifs reposent par essence (la technologie des chaines de blocs) sur une compilation exhaustive de toute la chaîne des transactions sur un cryptoactif. C’est une corne d’abondance pour une régulateur, qu’il doit être capable de piocher car, par sa nature même, le numérique est policier. Il n’oublie rien.

Un dernier sujet de préoccupation est le risque que les malandrins opèrent directement sur cryptoactifs, c’est-à-dire n’aient pas besoin d’une conversion en cash pour le gros de leurs transactions. Ici, les avis diffèrent. Il est possible qu’à partir d’une certaine taille critique, on puisse procéder à des échanges en circuit fermé, sans recours au cash. Cela reste improbable pour longtemps encore, sachant le très fort risque de cours que subissent les Bitcoins et autres, ce qui fait que les cryptoactifs ne peuvent être encore appelés de la cryptomonnaie.

 

Lire aussi : Ébullition sur les cryptomonnaies : bulle ou émergence d’un nouveau paradigme de finance décentralisée ?

 

S’agissant du rançonnage

Ce dernier risque ne concerne pas le rançonnage des entreprises, puisque celles-ci dernières sont tenues, en payant la rançon, de convertir du cash détenu sur leurs comptes bancaires en cryptoactifs. Il y a donc quelques voies aisées pour attaquer à la source le flux de la rançon, une fois le Travel rule définitivement mis en place. Un pas simple et efficace est l’interdiction pour une banque de traiter avec un FSC non réglementé ou de pays à réglementation douteuse, ou encore avec une banque qui ne suivrait pas une telle règle, est un premier pas. Il faut s’arranger à ce que tout paiement de rançon ne puisse échapper au régulateur et aux forces de police. (Certains pays ont même rendu illégal le paiement de rançon, ce qui est d’application difficile tant qu’il n’y a pas de produit d’assurance efficace contre ce risque d’entreprise.)

Et au niveau de l’État, il faut inclure le rançonnage au rang de la cyberguerre, et donc attaquer avec vigueur et avec les mêmes moyens les fripons qui s’y adonnent et l’État qui de facto les protège.