Une étude mondiale révèle que le coût moyen de restauration s’élève à 1,4 millions de dollars pour les entreprises en cas de paiement de la rançon, contre 730 000 dollars si elles ne la paient pas

SophosLabs alerte sur l’utilisation de techniques d’incitation à payer liées au ransomware Maze

Paris — mai 13, 2020 —

Sophos, leader mondial en solutions de cybersécurité Next-Gen, dévoile les résultats de son étude mondiale dans un rapport intitulé The State of Ransomware 2020. Celui-ci révèle que verser aux cybercriminels les rançons demandées afin de restaurer des données chiffrées suite à une attaque de ransomware n’est pas l’option la plus facile ni la moins coûteuse pour un retour à la normale. En effet, le fait de payer la rançon multiplie presque par deux le coût total du processus. L’étude a été menée auprès de 5000 décideurs informatiques exerçant au sein d’entreprises de 26 pays différents répartis sur six continents dont l’Europe, l’Amérique, l’Asie-Pacifique et l’Asie centrale, le Moyen-Orient et l’Afrique.

En France, plus de la moitié (52%) des entreprises ont indiqué avoir constaté une attaque de ransomware majeure au cours des douze derniers mois, contre 48% en 2017. Dans 80% des cas d’attaques réussies, les données avaient été chiffrées. En dehors de la rançon elle-même, le coût d’une attaque de ce type pour l’entreprise s’élève à plus de 420 000 euros en France en moyenne, prenant notamment en compte les temps d’arrêt, la perte de chiffre d’affaires ainsi que les coûts opérationnels. En cas de paiement de la rançon, cette moyenne double. 19% des entreprises françaises visées par un ransomware reconnaissent avoir payé la rançon. En France, 81% des entreprises interrogées déclarent avoir souscrit une assurance de cybersécurité mais seules 61% disposent d’une assurance couvrant les attaques de ransomware.

« Les entreprises se sentent parfois sous pression pour payer la rançon afin d’éviter les temps d’arrêt préjudiciables. À première vue, effectuer le paiement de la rançon semble être une manière efficace de restaurer les données, mais ce n’est qu’illusoire. Les résultats de l’étude de Sophos démontrent que le paiement de la rançon n’a que peu d’incidence sur le temps et les coûts liés aux efforts de restauration. En effet, une simple clé de chiffrement n’est pas un remède miracle et il faut souvent bien plus pour restaurer les données. Il arrive bien souvent que les pirates partagent plusieurs clés, de ce fait, avoir recours à ces clés pour restaurer les données peut se révéler complexe et chronophage », déclare Chester Wisniewski, Principal Research Scientist chez Sophos.

En France, plus de la moitié (61%) des responsables IT interrogés déclarent avoir pu restaurer leurs données à partir de sauvegardes sans payer la rançon. Dans un très petit nombre de cas (2%), le paiement de la rançon n’a pas permis de restaurer les données. À l’échelle mondiale, ce chiffre s’élève à 5% pour les organisations du secteur public. 13% des répondants du secteur public ont d’ailleurs déclaré ne pas avoir pu restaurer leurs données chiffrées, contre 6% tous secteurs confondus.

Néanmoins, et contrairement à certaines idées reçues, les organisations du secteur public sont les moins touchées par des attaques de ransomware, 45% d’entre elles déclarant avoir été la cible d’une attaque majeure au cours des douze derniers mois. Au niveau mondial dans le secteur privé, ce sont les entreprises du secteur des médias, des loisirs et du divertissement qui ont été les plus touchées par les ransomware, avec 60 % des personnes interrogées déclarant avoir subi des attaques.

Une pression de plus en plus grande pour le paiement des rançons

Les chercheurs de SophosLabs ont publié un nouveau rapport intitulé « Maze Ransomware: Extorting Victims for 1 Year and Counting », qui s’intéresse aux outils, techniques et procédures utilisées par cette menace nouvelle génération qui combine chiffrement des données, vol d’informations et menace de divulgation. Cette approche, que d’autres familles de ransomware, comme LockBit, commencent également à adopter, selon les observations des chercheurs de Sophos, vise à accroître la pression sur la victime pour qu’elle paie la rançon. Grâce au nouveau rapport de Sophos, les professionnels de la sécurité seront plus à même de comprendre et anticiper l'évolution des comportements des pirates de ransomware afin de protéger leur entreprise.

« Un système de sauvegarde permettant de restaurer des données chiffrées sans effectuer de paiement aux attaquants est essentiel pour l’entreprise, mais la résilience aux ransomwares passer par d’autres éléments importants », ajoute Wisniewski. « Les pirates les plus expérimentés tels que les cyberattaquants responsables du ransomware Maze ne se contentent pas de chiffrer les fichiers, ils volent également des données en vue de les divulguer ou d’extorquer leur propriétaire. LockBit fait partie des ransomware ayant recours à cette tactique, comme nous l’avons signalé récemment. Certains cyberattaquants cherchent également à supprimer ou à compromettre les sauvegardes de leurs victimes pour rendre la restauration des données plus difficile et les pousser à payer. Le meilleur moyen pour pallier ces manœuvres malveillantes est de conserver ses sauvegardes hors ligne et d’utiliser des solutions de sécurité multi-niveaux efficaces permettant de détecter et de bloquer les attaques à différents stades. »

Plus d’information sur le ransomware Maze sont disponibles dans le rapport publié sur SophosLabs Uncut.

L’étude « The State of Ransomware 2020 » a été réalisée par Vanson Bourne, cabinet indépendant d'études de marché, en janvier et février 2020. L’étude a été menée auprès de 5000 décideurs informatiques de 26 pays aux Etats-Unis, au Canada, au Brésil, en Colombie, au Mexique, en France, en Allemagne, au Royaume-Uni, en Italie, aux Pays-Bas, en Belgique, en Espagne, en Suède, en Pologne, en République tchèque, en Turquie, en Inde, au Nigeria, en Afrique du Sud, en Australie, en Chine, au Japon, à Singapour, en Malaisie, aux Philippines et aux Émirats Arabes Unis. Les participants à l’étude sont issus d’entreprises comptant entre 100 et 5000 collaborateurs.

Ressources annexes

À propos de Sophos

Sophos est un leader mondial innovant dans le domaine des solutions de sécurité avancées qui neutralisent les cyberattaques. La Société a fait l’acquisition de Secureworks en février 2025, réunissant ainsi deux pionniers qui ont redéfini l’industrie de la cybersécurité grâce à leurs services, technologies et produits innovants, optimisés par l’intelligence artificielle native. 
Sophos est désormais le plus grand fournisseur spécialisé de services de détection et réponse managées (MDR) protégeant plus de 30,000 organisations à travers et d’autres services, son portefeuille complet comprend les solutions de sécurité de pointe pour les endpoints, les réseaux, les emails et le cloud, qui interagissent et s’adaptent dynamiquement pour assurer une défense efficace via la plateforme Sophos Central.  
Secureworks apporte à cette alliance ses technologies innovantes et leaders sur le marché, notamment Taegis XDR/MDR, la détection et réponse aux menaces sur l’identité (ITDR), des capacités SIEM nouvelle génération, la gestion des risques ainsi qu’un ensemble complet de services de conseil en cybersécurité.  
Sophos commercialise l’ensemble de ces solutions à travers un réseau mondial de revendeurs, de fournisseurs de services managés (MSP) et de fournisseurs de services de sécurité managés (MSSP), protégeant plus de 600 000 entreprises contre le phishing, les ransomwares, le vol de données et d’autres cybermenaces, qu’elles soient quotidiennes ou menées par des Etats-nations.  
Toutes les solutions sont alimentées par des renseignements sur les menaces en temps réel et historiques issus de Sophos X-Ops et de la Counter Threat Unit (CTU) récemment intégrée.  
Le siège social de Sophos est situé à Oxford, au Royaume-Uni. Pour plus d’informations, consultez le site sophos.fr.