Ransomware : une étude de Semperis révèle que 78 % des victimes paient une rançon et 74 % subissent des attaques à répétition
septembre 2024 par Semperis
Semperis publie les résultats de son étude sur les rançongiciels menée auprès de près de 1 000 professionnels de l’informatique et de la sécurité dans des organisations de divers secteurs en France, mais aussi au Royaume-Uni, aux États-Unis et en Allemagne. L’étude vise à comprendre la prévalence, la fréquence et les coûts des attaques par rançongiciels - tant en termes de paiements de rançon que de dommages collatéraux.
Les résultats mettent en évidence une augmentation inquiétante des attaques multiples, parfois simultanées, obligeant les dirigeants d’entreprise à réévaluer leurs stratégies de cyber-résilience afin de traiter des points de défaillance récurrents que les criminels pourraient sinon exploiter sans cesse, et qui ont notamment pour source des pratiques inadéquates de sauvegarde et de récupération des systèmes d’identité.
« Compte tenu de la menace permanente qui pèse sur les entreprises et les organisations de nos jours, vous ne pouvez jamais dire "Je suis en sécurité" ou prendre un moment de répit. Le mieux que vous puissiez faire est de rendre votre environnement défendable et de le défendre par la suite », a déclaré Chris Inglis, conseiller stratégique de Semperis et premier directeur national de la cybersécurité des États-Unis. « Au cœur de cette discussion se trouve la survie des entreprises. Les cybercriminels cherchent à les mettre en péril pour les forcer à payer une rançon, et s’ils parviennent à attaquer votre système d’identité, ils obtiennent des privilèges qu’ils utilisent ensuite à leur profit. »
L’étude a été menée par Semperis au premier semestre 2024 et les principales conclusions sont les suivantes pour le marché français :
• Les attaques par rançongiciels ne sont pas une menace ponctuelle : 74 % des sondés qui ont été attaqués au cours des 12 derniers mois ont été attaqués à plusieurs reprises – souvent en l’espace d’une semaine. Ce chiffre est de 61 % pour les entreprises françaises.
• Les entreprises ne sont pas préparées à lutter contre les rançongiciels : 78% des entreprises ciblées payent la rançon qui leur est exigée, 72 % paient plusieurs rançons et 33 % ont payé 4 rançons ou plus. Pour la France, 80 % ont déjà payé plusieurs rançons, et 36 % en ont payé au moins 4.
• Peu d’entreprises voient une alternative au paiement de la rançon : 87 % des attaques ont causé une interruption des activités – même pour ceux qui ont payé la rançon – et causent la perte de données et la nécessité de mettre les systèmes hors ligne. Pour 14 % des répondants français, l’attaque a concrètement menacé la survie de leur entreprise, mais c’est 16 % dans le monde qui se retrouvent dans cette situation.
• Payer la rançon ne garantit pas un retour à des opérations normales : 35 % des victimes qui ont payé une rançon n’ont pas reçu de clés de déchiffrement ou ont reçu des clés corrompues, et 28 % des entreprises françaises interrogées ont subi la même chose.
• Les objectifs de temps de récupération (RTO) ne sont pas atteints : 49 % des répondants ont eu besoin de 1 à 7 jours pour rétablir les opérations commerciales à une fonctionnalité informatique minimale après une attaque de rançongiciel, et 12 % ont eu besoin de 7 jours ou plus.
•
Peu d’entreprises maintiennent une protection d’identité complète et dédiée
Bien que 70 % des répondants aient déclaré avoir un plan de récupération d’identité, ce qui indique des progrès significatifs vers une sécurité centrée sur la gestion des identités et des accès (IAM), seulement 34 % en France ont signalé disposer de systèmes de sauvegarde spécifiques à Active Directory (AD). Sans sauvegardes spécifiques à AD - exemptes de logiciels malveillants - et un plan de récupération cybernétique testé, la récupération sera encore plus longue, augmentant la probabilité que l’organisation décide de payer la rançon pour restaurer les opérations commerciales.
« Pour que la direction et le conseil d’administration d’une entreprise puissent prendre une décision éclairée et qu’ils ne payent pas une rançon, ils doivent savoir combien de temps prendra la récupération et avoir confiance dans le processus. Cela implique de tester votre plan dans des conditions aussi proches que possible de la réalité et de le présenter au conseil d’administration avant qu’une attaque ne survienne. De cette façon, lorsqu’un désastre arrive, les décideurs auront confiance en leur capacité à dire "non" aux criminels », a déclaré Mickey Bresman, PDG de Semperis.
Parmi les défis permanents en matière de cybersécurité cités par les organisations, le manque de soutien du conseil d’administration est en tête de liste. Parmi les autres préoccupations figurent les contraintes budgétaires, les pénuries de personnel, les systèmes obsolètes et les réglementations et directives en matière de cybersécurité.
« La technologie peut nous aider à analyser et évaluer ce qui se passe, instant par instant », a déclaré Inglis. « Elle peut nous aider à répondre et récupérer plus rapidement. Mais ce qui manque le plus maintenant, c’est une prise de conscience collective que nous avons tous un rôle à jouer. Cela commence par le conseil d’administration, et non pas par le service informatique. Le conseil d’administration d’une organisation a sa part de responsabilité ; la SEC l’a clairement indiqué. Les réglementations rendent de plus en plus clair le fait que la cybersécurité est une question d’entreprise. »
Méthodologie :
Au cours du premier semestre 2024, des organisations et entreprises aux États-Unis, au Royaume-Uni, en France et en Allemagne ont participé à une étude détaillée sur leur expérience avec les rançongiciels. Pour mener cette étude, Semperis a collaboré avec des experts de Censuswide, une société de conseil en recherche de marché dont le siège est à Londres. Censuswide a interrogé 900 professionnels de l’informatique et de la sécurité à travers plusieurs secteurs, notamment l’éducation, la finance, la santé, l’industrie et les services publics, l’informatique et les télécommunications, ainsi que les voyages et le transport.