La dernière étude de Cohésity, réalisée par Censuswide, analyse les réactions des victimes qui doivent impérativement continuer à faire tourner leurs affaires. Le sondage porte sur les responsables des secteurs informatique et télécommunications, finance, santé, ressources humaines, industrie. Même s’il faut toujours prendre les résultats d’une enquête avec du recul, 80 % des répondants déclarent avoir été la cible d’un ransomware dans les
6 mois qui ont précédé le sondage. Les deux tiers des responsables interrogés (67 %) se disent prêts à payer plus de 3 millions de dollars pour récupérer leurs données et restaurer leurs opérations. Une somme qui se monte à 5 millions pour 35 % d’entre eux. Le montant dépend de la sensibilité des données, de leur volume et bien sur, des possibilités financières des victimes.
En France, l’ANSSI déconseille fortement les organisations de travail de l’hexagone à payer les rançons et le dernier baromètre du Cesin indique une stabilité des attaques par rançongiciel, preuve sans doute du non-paiement de ce type d’extorsion, qui serait moins juteux pour les pirates.
La réalité est difficile à saisir quand on analyse les résultats du sondage de Cohesity. Ainsi, 9 répondants sur 10 ont déclaré que leur entreprise avait payé une rançon au cours des deux années précédentes mais 84 % des organisations avaient pourtant mis en place une politique de « non-paiement ». Un paradoxe évocateur du décalage entre les intentions et les actions sur le terrain.
La confiance dans la cyberésilience de leur entreprise reste très limitée pour les responsables
Pour les entreprises, la cyberésilience n’est autre que la capacité à reprendre au plus vite les activités, surtout grâce à la restauration correcte des données. Selon les résultats du sondage, qu’il faut toujours relativiser, 21 % seulement des répondant sauraient pleinement confiance dans la stratégie de leur entreprise à faire face aux situations de crise. L’état des lieux est préoccupant. Ainsi, tous les répondants de l’étude déclarent avoir besoin de plus de 24 heures pour restaurer leurs données et rétablir leurs processus métier. Ce n’est pas surprenant. Seuls, 7 % affirment que leur entreprise pouvait le faire dans un délai de 1 à 3 jours. D’autre part, 35 % du panel déclare pouvoir restaurer les données en 4 à 6 jours, et 34 % ont besoin de 1 à 2 semaines pour recouvrer leur capacité opérationnelle complète. Plus grave, près d’une entreprise sur quatre, soit 23 %, a besoin de plus de 3 semaines pour restaurer ses données et retrouver une activité normale. Pour les moins préparées, ces durées peuvent dépasser un mois concernant certains processus.Mettre une politique de prévention c’est bien, encore faut-il la tester… Surprise, seuls 12 % des interrogés déclarent que leur entreprise avait procédé à des tests de résistance de leurs processus ou solutions de sécurité au cours des six mois précédant l’enquête et 46 % ne les ont pas testé depuis plus de 12 mois. C’est un long délai. Pour quatre répondants sur cinq, la direction générale et le Comex d’administration devraient partager la responsabilité de la stratégie de sécurité des données de leur entreprise. Et 67 % d’entre eux déclarent que le DSI et le RSSI de leur entreprise pourraient améliorer leur stratégie de cybersécurité. De quoi nourrir la réflexion pour de véritables échanges, gage d’évolution fructueuse des pratiques de sécurité.