En matière de rançongiciels, verser une rançon n’est pas une garantie de récupération des données chiffrées. Cela pourrait être en partie dû à la complexité liée à l’utilisation de clés de déchiffrement, d’un code de mauvaise qualité ou compilé à la hâte.
Les rançongiciels continuent d’être l’une des cybermenaces les plus critiques et traumatisantes pour les entreprises et les gouvernements. Ils ne pénalisent pas seulement les opérations informatiques, ils extorquent aussi d’importantes sommes d’argent aux victimes pour leur restituer l’accès au système et aux fichiers. Cependant, la rançon ne représente qu’une fraction du coût global de l’attaque en termes d’atteinte à la réputation et de perte d’activité. Et elle n’est pas une garantie de récupération des données chiffrées.
D’après les résultats de l’étude The State of Ransomware 2021 de Sophos, le coût moyen total de reprise d’activité après une attaque par ransomware a plus que doublé en un an, passant de 631 649 euros en 2020 à 1,53 million d’euros en 2021. Le montant moyen de rançon versé s’élève à 142 000 euros, 128 000 euros en France. Pour réaliser cette étude, 5 400 décideurs IT ont été interrogés. Ils sont issus d’entreprises de taille moyenne réparties dans 30 pays situés dans les zones géographiques Europe, Amérique, Asie-Pacifique et Asie centrale, Moyen-Orient et Afrique.
Moins d’attaques, mais plus ciblées
En France, le coût moyen de réduction de l’impact d’une attaque par ransomware a plus que doublé au cours des 12 derniers mois. Les coûts de remédiation moyens, qui incluent les temps d’arrêt, les commandes perdues, les coûts opérationnels et de nombreux autres paramètres, sont passés de 390 000 euros en 2020 à 921 000 euros en 2021. Ainsi, le coût moyen de reprise d’activité après une attaque par ransomware est désormais presque 10 fois plus important que le montant moyen des rançons versées.
La diminution du nombre d’attaques par rapport à 2020 est une autre tendance observée par les enquêteurs de Sophos. En France, le nombre d’entreprises victimes d’attaques par ransomware est passé de 52 % en 2020 à 30 % en 2021.De plus, elles sont de moins en moins nombreuses à souffrir d’un chiffrement de données qui découle d’une attaque de grande ampleur (60 % en 2021 par rapport à 80 % en 2020).
Les changements dans les comportements des attaquants observés par Sophos Labs et les équipes Sophos Managed Threat Response indiquent que la réduction du nombre d’attaques pourrait être due en partie à une évolution tactique. Par exemple, de nombreux attaquants sont passés d’attaques automatisées, génériques et à grande échelle à des attaques plus ciblées comprenant des opérations humaines et des piratages au clavier. « Bien que le nombre global d’attaques soit plus faible, notre expérience montre que le potentiel de dommages de ces attaques ciblées est beaucoup plus élevé », affirme le rapport.
Sans garantie de restauration des données
Enfin, l’étude révèle qu’en « matière de rançongiciel, verser une rançon n’est pas la solution gagnante ». Les résultats montrent que seules 8 % des entreprises dans le monde sont parvenues à restaurer l’ensemble de leurs données après versement de la rançon et que 29 % d’entre elles en récupèrent au mieux la moitié. En France, le nombre d’entreprises françaises qui paient une rançon a augmenté, passant de 19 % en 2020 à 25 % en 2021, même si moins d’une sur dix (6 %) est parvenue à restaurer l’ensemble de ses données.
« Même si de plus en plus d’entreprises acceptent de payer les sommes exigées, seule une minorité d’entre elles a été en mesure de restaurer l’ensemble de ses données, explique Chester Wisniewski, principal reasearch scientist chez Sophos. Cela pourrait être en partie dû à la complexité liée à l’utilisation de clés de déchiffrement pour récupérer les informations. De plus, il n’y a aucune garantie de réussite. Par exemple, comme nous l’avons récemment constaté avec les ransomwares Dear Cry et Black Kingdom, les attaques lancées à l’aide de codes de mauvaise qualité ou compilés à la hâte peuvent rendre difficile, voire impossible, toute restauration des données ».