Une étude mondiale révèle que le coût moyen de restauration s’élève à 1,4 millions de dollars pour les entreprises en cas de paiement de la rançon, contre 730 000 dollars si elles ne la paient pas

SophosLabs alerte sur l’utilisation de techniques d’incitation à payer liées au ransomware Maze

Paris — mai 13, 2020 —

Sophos, leader mondial en solutions de cybersécurité Next-Gen, dévoile les résultats de son étude mondiale dans un rapport intitulé The State of Ransomware 2020. Celui-ci révèle que verser aux cybercriminels les rançons demandées afin de restaurer des données chiffrées suite à une attaque de ransomware n’est pas l’option la plus facile ni la moins coûteuse pour un retour à la normale. En effet, le fait de payer la rançon multiplie presque par deux le coût total du processus. L’étude a été menée auprès de 5000 décideurs informatiques exerçant au sein d’entreprises de 26 pays différents répartis sur six continents dont l’Europe, l’Amérique, l’Asie-Pacifique et l’Asie centrale, le Moyen-Orient et l’Afrique.

En France, plus de la moitié (52%) des entreprises ont indiqué avoir constaté une attaque de ransomware majeure au cours des douze derniers mois, contre 48% en 2017. Dans 80% des cas d’attaques réussies, les données avaient été chiffrées. En dehors de la rançon elle-même, le coût d’une attaque de ce type pour l’entreprise s’élève à plus de 420 000 euros en France en moyenne, prenant notamment en compte les temps d’arrêt, la perte de chiffre d’affaires ainsi que les coûts opérationnels. En cas de paiement de la rançon, cette moyenne double. 19% des entreprises françaises visées par un ransomware reconnaissent avoir payé la rançon. En France, 81% des entreprises interrogées déclarent avoir souscrit une assurance de cybersécurité mais seules 61% disposent d’une assurance couvrant les attaques de ransomware.

« Les entreprises se sentent parfois sous pression pour payer la rançon afin d’éviter les temps d’arrêt préjudiciables. À première vue, effectuer le paiement de la rançon semble être une manière efficace de restaurer les données, mais ce n’est qu’illusoire. Les résultats de l’étude de Sophos démontrent que le paiement de la rançon n’a que peu d’incidence sur le temps et les coûts liés aux efforts de restauration. En effet, une simple clé de chiffrement n’est pas un remède miracle et il faut souvent bien plus pour restaurer les données. Il arrive bien souvent que les pirates partagent plusieurs clés, de ce fait, avoir recours à ces clés pour restaurer les données peut se révéler complexe et chronophage », déclare Chester Wisniewski, Principal Research Scientist chez Sophos.

En France, plus de la moitié (61%) des responsables IT interrogés déclarent avoir pu restaurer leurs données à partir de sauvegardes sans payer la rançon. Dans un très petit nombre de cas (2%), le paiement de la rançon n’a pas permis de restaurer les données. À l’échelle mondiale, ce chiffre s’élève à 5% pour les organisations du secteur public. 13% des répondants du secteur public ont d’ailleurs déclaré ne pas avoir pu restaurer leurs données chiffrées, contre 6% tous secteurs confondus.

Néanmoins, et contrairement à certaines idées reçues, les organisations du secteur public sont les moins touchées par des attaques de ransomware, 45% d’entre elles déclarant avoir été la cible d’une attaque majeure au cours des douze derniers mois. Au niveau mondial dans le secteur privé, ce sont les entreprises du secteur des médias, des loisirs et du divertissement qui ont été les plus touchées par les ransomware, avec 60 % des personnes interrogées déclarant avoir subi des attaques.

Une pression de plus en plus grande pour le paiement des rançons

Les chercheurs de SophosLabs ont publié un nouveau rapport intitulé « Maze Ransomware: Extorting Victims for 1 Year and Counting », qui s’intéresse aux outils, techniques et procédures utilisées par cette menace nouvelle génération qui combine chiffrement des données, vol d’informations et menace de divulgation. Cette approche, que d’autres familles de ransomware, comme LockBit, commencent également à adopter, selon les observations des chercheurs de Sophos, vise à accroître la pression sur la victime pour qu’elle paie la rançon. Grâce au nouveau rapport de Sophos, les professionnels de la sécurité seront plus à même de comprendre et anticiper l'évolution des comportements des pirates de ransomware afin de protéger leur entreprise.

« Un système de sauvegarde permettant de restaurer des données chiffrées sans effectuer de paiement aux attaquants est essentiel pour l’entreprise, mais la résilience aux ransomwares passer par d’autres éléments importants », ajoute Wisniewski. « Les pirates les plus expérimentés tels que les cyberattaquants responsables du ransomware Maze ne se contentent pas de chiffrer les fichiers, ils volent également des données en vue de les divulguer ou d’extorquer leur propriétaire. LockBit fait partie des ransomware ayant recours à cette tactique, comme nous l’avons signalé récemment. Certains cyberattaquants cherchent également à supprimer ou à compromettre les sauvegardes de leurs victimes pour rendre la restauration des données plus difficile et les pousser à payer. Le meilleur moyen pour pallier ces manœuvres malveillantes est de conserver ses sauvegardes hors ligne et d’utiliser des solutions de sécurité multi-niveaux efficaces permettant de détecter et de bloquer les attaques à différents stades. »

Plus d’information sur le ransomware Maze sont disponibles dans le rapport publié sur SophosLabs Uncut.

L’étude « The State of Ransomware 2020 » a été réalisée par Vanson Bourne, cabinet indépendant d'études de marché, en janvier et février 2020. L’étude a été menée auprès de 5000 décideurs informatiques de 26 pays aux Etats-Unis, au Canada, au Brésil, en Colombie, au Mexique, en France, en Allemagne, au Royaume-Uni, en Italie, aux Pays-Bas, en Belgique, en Espagne, en Suède, en Pologne, en République tchèque, en Turquie, en Inde, au Nigeria, en Afrique du Sud, en Australie, en Chine, au Japon, à Singapour, en Malaisie, aux Philippines et aux Émirats Arabes Unis. Les participants à l’étude sont issus d’entreprises comptant entre 100 et 5000 collaborateurs.

Ressources annexes

À propos de Sophos

Sophos est un leader mondial de la cybersécurité qui protège 600000organisations à travers le monde grâce à une plateforme optimisée par l’IA et à des services fournis par des experts. Sophos accompagne les entreprises, quel que soit leur niveau de maturité en matière de cybersécurité, et évolue avec elles pour déjouer les cyberattaques. Ses solutions offrent une combinaison optimale entre apprentissage automatique, automatisation et renseignements sur les menaces en temps réel, à laquelle s’ajoute l’expertise humaine de l’équipe Sophos X-Ops, qui travaille en première ligne pour assurer la surveillance, la détection et la réponse aux menaces 24h/24 et 7j/7.
Sophos propose des services managés de détection et de réponse (MDR) de pointe, ainsi qu’un portefeuille complet de technologies de cybersécurité, parmi lesquelles des solutions de sécurité Endpoint, réseau, email et cloud, ainsi que des solutions de détection et de réponse étendues (XDR), de détection et de réponse aux menaces liées à l’identité (ITDR) et de SIEM de nouvelle génération. Associées à des services de conseil spécialisés, ces capacités aident les entreprises à réduire leurs risques de manière proactive et à répondre plus rapidement, tout en bénéficiant de la visibilité et de l’évolutivité nécessaires pour garder une longueur d’avance sur les menaces en constante évolution.
Sophos commercialise ses produits via un écosystème mondial de partenaires, comprenant des fournisseurs de services managés (MSP), des fournisseurs de services de sécurité managés (MSSP), des revendeurs et distributeurs, une marketplace d’intégrations et des partenaires spécialisés dans les cyber risques. Cette stratégie offre aux entreprises la flexibilité nécessaire pour choisir des partenaires de confiance pour protéger leurs opérations.  Le siège de l’entreprise est basé à Oxford, au Royaume-Uni. Plus d’informations sont disponibles sur www.sophos.fr.