Dans la peau d’un cyber-négociateur

Quand une entreprise découvre que son système d’information est chiffré par un ransomware, il est déjà souvent trop tard. C’est là qu’intervient Geert Baudewijns. PDG de Secutec et cyber-négociateur depuis 2016, il dialogue avec des cybercriminels et fait le pont entre les victimes et leurs attaquants. Entre tentatives de corruption, courses contre la montre et deals à plusieurs centaines de milliers de dollars, il raconte son expérience dans un métier pas comme les autres.

En 2025, plus de 7 000 entreprises ont été victimes de ransomware dans le monde d’après Comparitech. Un chiffre en hausse de 32 % par rapport à 2024. Et dans de nombreux cas, la détection intervient bien après que les dégâts ont été consommés : données exfiltrées, systèmes chiffrés, sauvegardes compromises. « Vous pouvez complètement comparer cette situation à un cambriolage », explique Geert Baudewijns. « Vos affaires sont partout, vous savez directement ce qui s’est passé. Mais le cambrioleur, lui, est déjà parti. »

En interne, c’est tout d’abord la panique. Les équipes IT tentent de comprendre l’étendue des dégâts, le CEO découvre que ses serveurs sont inaccessibles. Et quand le diagnostic tombe, le réflexe n’est pas d’appeler la police mais l’assureur cyber. Le sinistre doit en effet être déclaré dans les 24 heures. C’est là que Geert Baudewijns entre en scène.

Le négociateur entre en scène

« C’est pour moi le plus beau métier du monde. Je ne suis pas là pour rendre les criminels meilleurs ou pour dire qu’ils sont bons. Juste faire le pont entre la victime et son attaquant, pour l’accompagner dans le moment le plus critique de sa carrière… », explique Baudewijns.

Lors de ses premières négociations, en 2016, il était convaincu que payer était absurde. « Je disais à la victime : vous êtes stupide, si on paie, ils ne donneront jamais ce qu’on veut. »
Dix ans et plus de 600 négociations plus tard, il sait que la réalité est infiniment plus nuancée.

Une fois arrivé chez la victime, le premier rôle de Geert Baudewijns est de rassurer et de calmer le jeu. « Dès le premier jour, j’explique au CEO qu’il a deux options : transformer cette crise en meilleur team building de sa carrière, ou foncer vers le désastre avec, dans six mois, plus personne à bord. »
Son conseil est simple : accompagner les équipes. « Même s’il dirige 5 000 personnes, je dis au dirigeant : on est samedi soir, tu vas au bureau, tu amènes 50 boîtes de pizza, et tu manges avec les équipes techniques. C’est la première brique du team building. »

Avant de contacter le hacker, Baudewijns attend toujours 24 heures. Le temps d’évaluer la situation, d’identifier le groupe ransomware, de préparer le terrain. Et surtout d’aligner la durée de la négociation avec celle de la reconstruction du système d’information. « Ça n’a aucun sens d’avoir les clés de déchiffrement après deux jours si l’IT a besoin de dix jours pour préparer l’infrastructure. Parfois, je freine volontairement, en évoquant la famille, l’actualité, des choses un peu anodines ». Gagner du temps est parfois un moyen de reprendre l’avantage dans la négociation à venir.

L’art de lire le hacker

La première étape de toute négociation consiste à déterminer à qui l’on a affaire. Les indices commencent dès la note de rançon. Un amateur laisse deux adresses e-mail, souvent des Proton ou des adresses chinoises. Un professionnel fournit un lien Tor vers une page dédiée, avec un tchat, l’adresse Bitcoin (les paiements s’effectuent toujours en Bitcoin), le montant demandé et un compte à rebours.

Dès les premiers échanges, la différence se confirme. « L’amateur gère tout lui-même : l’accès initial, le chiffrement, l’exfiltration, puis la négociation. Or un profil technique ne fait pas nécessairement un bon négociateur. Résultat : ces attaquants basculent vite dans l’agressivité et le harcèlement », explique Geert Baudewijns. Les professionnels, à l’inverse, adoptent une posture « très business-like ».
Néanmoins, le paysage a aujourd’hui radicalement changé. La frontière entre amateurs et professionnels s’est estompée : un attaquant novice peut désormais louer auprès d’une organisation cybercriminelle structurée une plateforme complète, un outil de chiffrement, voire les services d’un négociateur, le tout contre une commission sur la rançon. La cybercriminalité s’industrialise.

Un écosystème criminel en mutation

Le comportement des hackers, lui aussi, évolue. Le changement majeur concerne leur loyauté, bien plus volatile que par le passé. « Auparavant, ils revendaient l’accès initial à une seule organisation ransomware et touchaient 20 % de la transaction en cas de paiement de la victime. Mais avec des cibles désormais plus modestes et des rançons en baisse, ils préfèrent monétiser le même accès auprès de trois ou quatre acheteurs différents. Les success fees (les rémunérations à la performance) ne les intéressent plus. »

Ce manque de loyauté a une conséquence directe : la vitesse. Quand un groupe achète un accès, il sait que s’il attend quatre jours sans agir, un concurrent aura déjà hacké la cible. C’est cette compétition qui explique que les hackers ne restent plus que quatre à six jours dans un réseau, contre deux à quatre semaines auparavant.

Le résultat, c’est une timeline d’attaque devenue frénétique. Jour un, l’accès initial est vendu. Le même jour ou le lendemain, un premier groupe ransomware l’achète, puis un deuxième aussi. Chacun fait son exfiltration de données. Le premier qui déploie le ransomware « gagne ». Le second, bloqué, tente de revendre les données exfiltrées sur le darknet. Puis au jour six, un phénomène nouveau apparaît. Les organisations ransomware publient le nom de leurs victimes sur des pages accessibles depuis le darknet, ce que le milieu appelle le « Wall of Shame ».

Ces listes sont surveillées par d’autres hackers, opportunistes, qui n’ont rien à voir avec l’attaque initiale. Ils repèrent l’entreprise fragilisée et la contactent directement pour une tentative de deal rapide : « Versez 50 000 ou 100 000 dollars cet après-midi, et ce soir vous êtes libéré », témoigne Geert Baudewijns. Beaucoup d’organisations, sous pression, cèdent à ce stade, mais au mauvais interlocuteur. « Ces entreprises viennent ensuite nous dire qu’elles ont payé sans jamais rien recevoir en retour. Nous en croisons chaque semaine. »

La bascule vers l’extorsion par la donnée

Car derrière cette mécanique, c’est tout le modèle qui a basculé : le vol de données a supplanté le chiffrement comme arme principale. « Auparavant, l’enjeu pour les hackers était de chiffrer les données : c’est de là que venait l’argent. Ce n’est plus le cas. Ils ciblent désormais vos fichiers clients, vos données personnelles, vos passeports, la donnée la plus critique possible et en volume, afin de l’exfiltrer. »
Une fois ces données en main, les hackers les exposent sur leur Wall of Shame, et c’est là que la pression devient maximale. Une fois sur deux, les victimes paient. Non pas parce qu’elles ne peuvent pas restaurer depuis un backup, la plupart le peuvent, mais par peur de voir leur nom dans la presse. « Se retrouver à la Une avec 7 millions de dossiers volés à annoncer publiquement, c’est devenu la menace numéro un ! »

Les coulisses du deal

Geert Baudewijns ne révèle jamais d’emblée qu’il est négociateur professionnel. « L’annoncer dès le premier jour éveillerait immédiatement la méfiance du hacker. Mieux vaut endosser le rôle de quelqu’un qui maîtrise mal le sujet. »
Avec les amateurs, il adopte un registre délibérément personnel : il évoque ses enfants, le match de foot du week-end. « Quatre ou cinq heures plus tard, on me demande des nouvelles du match. »
Le moment clé survient quand le hacker perd patience. « Il a menacé, harcelé, haussé le ton, puis vient le moment où il s’épuise. C’est là que je reprends la main sur la négociation. »
Ce n’est qu’au milieu du processus, une fois les contours d’un accord esquissés, que Geert Baudewijns dévoile son statut. « Une fois un montant convenu, disons 500 000 dollars, je lui dis : « Je sais que vous tiendrez parole : il y a trois semaines, j’ai déjà négocié avec vous, et vous avez honoré votre engagement. » » Le hacker demande alors le nom de la victime précédente. Si la vérification est concluante, Greet Baudewijns est redirigé vers un canal Tox, messagerie chiffrée qu’il décrit comme « le WhatsApp des criminels ». Il accède alors au statut de partenaire de confiance. C’est précisément à ce stade que débutent les tentatives de corruption. « Ils me proposent : votre client offre 500 000, pouvez-vous faire monter l’enchère à 700 000 ? Vous touchez 20 % du delta. Ce genre d’offre, j’en reçois chaque semaine. »

Trois à six négociations hebdomadaires, à faire le pont entre deux mondes que tout oppose. Dans ce métier, le risque n’est pas seulement technique. Il est humain.

À LIRE AUSSI :

Secu

Forum InCyber — Épisode 4 : l’IA ne crée pas toujours de nouvelles failles, mais elle accélère tous les risques

Thierry Derouet

2 Avr

À LIRE AUSSI :

Secu

Ransomwares : les techniques de chantage évoluent encore !

Laurent Delattre

28 Août

À LIRE AUSSI :

Gouvernance

S’assurer contre les cyberattaques, est-ce bien raisonnable ?

Aude Leroy

14 Oct

Abonnez-vous à la newsletter hebdo d'IT for Business !

Rejoignez notre liste de diffusion pour recevoir toutes les semaines une sélection d'articles et quelques autres surprises préparées spécialement pour vous par notre rédaction.

ABONNEZ-VOUS !

Nous vous envoyons un e-mail de validation !