Selon une enquête de Cohesity, 92 % des entreprises françaises interrogées auraient payé une rançon sur l’année écoulée
septembre 2024 par Cohesity
Cohesity dévoile les résultats d’une nouvelle enquête sur le coût financier et l’impact opérationnel des ransomwares. Pour ce rapport 2024 sur la cyber-résilience, Cohesity a interrogé plus de 3100 décideurs IT, dans 8 pays différents, dont 408 en France, sur l’impact de la cybercriminalité sur leur entreprise et leur capacité à faire face aux attaques.
Premier résultat notable de l’enquête : une recrudescence des cyberattaques en France. 86 % des décideurs français interrogés ont confirmé que leur entreprise a été victime d’une attaque par ransomware en 2024, alors qu’ils n’étaient que 53 % l’année précédente, plaçant les entreprises françaises dans le peloton de tête des plus ciblées (67 % au niveau mondial).
Un excès de confiance qui les conduit à payer les rançons ?
Pourtant, les entreprises françaises semblent confiantes dans leur capacité à faire face à ce type d’attaques et à restaurer les données qui auraient pu être compromises. Trop confiantes, peut-être ? Alors que 79 % des décideurs français interrogés estiment avoir une stratégie de cyber-résilience qui les rend capables de faire face aux menaces d’aujourd’hui et que seuls 21 % expriment des inquiétudes, 97 % déclarent que leur entreprise serait prête à payer une rançon pour récupérer des données subtilisées (83 % au niveau mondial), et un peu plus de 9 entreprises françaises sur 10 (92 %) admettent avoir payé une rançon au cours de l’année écoulée, contre plus des 2/3 (69 %) en moyenne dans le monde. En d’autres termes, cela signifie que seulement 8 % des organisations françaises ont exclu cette éventualité, alors qu’elles ont presque toutes (90 %) une politique claire de non-paiement.
Malgré une sérénité affichée, le paiement d’une rançon et l’hypothèse de retrouver « simplement » ses données déchiffrées reste donc une option privilégiée. Une dichotomie qui soulève une problématique : les plans de cyber-résilience des entreprises françaises sont-ils vraiment adaptés à l’état actuel de la menace ?
« Cette année encore, nous constatons un écart notable entre les attentes et la réalité en matière de restauration après une cyberattaque », analyse François-Christophe Jean, Directeur Technique France chez Cohesity. « L’incertitude qui pèse aujourd’hui sur les entreprises françaises pousse les professionnels de l’IT à recourir aux paiements des rançons, qui seraient l’unique gage de confiance pour restaurer l’intégralité de leurs données. Cela entraîne un véritable défi logistique et engage la responsabilité pénale des entreprises face à une règlementation des paiements qui continue pourtant de se durcir. D’autant que cela conforte les cybercriminels dans leur stratégie, un cercle vicieux auquel il est impératif de mettre un terme, grâce notamment à des stratégies de cyber-résilience plus adaptées et plus fiables. »
Payer la rançon, solution de facilité ?
Perçu comme une solution de facilité par les entreprises, le paiement des rançons a pourtant un coût élevé : les entreprises françaises sondées ayant payé une rançon au cours de l’année écoulée indiquent qu’elles ont payé en moyenne près de 653,000 € de rançons. En outre, un peu moins d’un répondant sur dix (9 %) admet que la facture allait de 935,390 € à 2,806,004 €. À l’échelle mondiale, les données de l’enquête Cohesity révèlent que 5 % des entreprises seraient prêtes à payer plus de 9,3 millions d’euros, et une organisation interrogée a même admis avoir être prête à payer plus de 23 millions d’euros de rançon. Selon Chainalysis, le paiement de rançons « déclaré » en 2023 représenterait l’équivalent d’environ 1,1 milliard de dollars.
Le rapport révèle par ailleurs une corrélation claire entre les pays enclins à payer et ceux ayant constaté une augmentation des attaques, la France en tête. Si la menace mondiale ne cesse de s’intensifier, les entreprises françaises sont parmi les plus touchées (86 % contre 67 % au niveau mondial), non loin derrière l’Allemagne (83%), mais bien au-dessus du Royaume-Uni, où elles ne sont « que » 53 %. Même constat sur le paiement des rançons, puisque 83 % des décideurs IT interrogés dans le monde déclarent que leur entreprise serait prête payer alors qu’ils sont 97 % en France. Des résultats qui traduisent un manque de réalisme quant au niveau réel de préparation des entreprises françaises.
Des conséquences encore sous-estimées
Les entreprises semblent encore ignorer l’effet à long terme de telles stratégies. Les rançons confortent le modèle économique des cybercriminels, qui tirent profit de leurs attaques, ne faisant qu’exacerber le problème.
Seulement 4 % des organisations ont récupéré l’intégralité de leurs données après avoir payé une rançon. Dans la plupart des cas, il n’y a d’ailleurs aucune garantie que cela se produise et quand bien même les données sont déchiffrées, ces dernières sont bien souvent désordonnées et perdent en fiabilité. Les conséquences sont donc autant logistiques que financières, les entreprises mettant souvent plusieurs mois à se rétablir, sans avoir pu corriger les vulnérabilités en cause dans certains cas. En plus de politiques de non-paiement inefficaces, l’évolution de la règlementation s’efforce de dissuader les entreprises d’effectuer ces paiements. En France, la loi d’orientation et de programmation (LOPMI) impose aux victimes d’attaques informatiques malveillantes de porter plainte pour préserver leur droit à indemnisation au titre de leur contrat d’assurance.
La cyber-résilience reste donc un défi évident : aucun des sondés français n’estime être en mesure de restaurer des données et systèmes dans les 24 heures suivant une attaque ; moins de 1 répondant sur 10 (9 %) prévoit jusqu’à 3 jours ; tandis que 17 % nécessiteraient entre 3 semaines et 2 mois. Ce n’est pourtant pas faute de préparation : puisque 93 % des organisations ont testé leurs processus de sécurité, de gestion et de restauration des données au cours des 12 derniers mois précédents, soit un peu plus que la moyenne mondiale (87 %).
« Face à la motivation et à la persévérance des acteurs de la menace, la surface d’attaque est devenue un vaste terrain de jeux, où de simples contrôles de protection ne suffisent plus. La cyber-résilience est donc plus que jamais indispensable », ajoute François-Christophe Jean. « Des cyberattaques destructrices peuvent perturber la capacité d’une organisation à fournir ses produits et services, impactant ses revenus, sa réputation, sa chaîne d’approvisionnement et la confiance de ses clients. Ce risque doit être une priorité aussi bien pour les décideurs IT que pour les dirigeants d’entreprise. De même, les règlementations et lois en vigueur ne doivent pas être considérées par les entreprises comme une limite, mais bien comme une base pour développer leur stratégie de cyber-résilience et la mise en place des mesures de sécurité et de restauration des données. »
À propos de l’enquête :
Les résultats sont basés sur une enquête menée auprès de 3139 informatiques et SecOps à travers le monde. Elle a été commanditée par Cohesity et menée par Censuwide entre le 27/06/2024 et le 18/07/2024. Les cinq principaux secteurs que les répondants ont sélectionnés comme représentant le mieux les activités de leur entreprise sont l’informatique et les télécommunications, l’industrie manufacturière, les services financiers (y compris l’assurance), la banque et la gestion de patrimoine, ainsi que les hôpitaux et les établissements de santé. Censuswide respecte et emploie les membres de la Market Research Society, suit le code de conduite MRS et les principes ESOMAR, et est membre du British Polling Council.
Les résultats 2023 sont basés sur une enquête menée auprès de 500 décideurs informatiques et SecOps français, commandée par Cohesity, Tenable et BigID, et réalisée par Censuswide entre le 14 et le 27 avril 2023.