Ransomwares : une seule solution, payer la rançon ?

Contre les ransomwares, pas d’anticorps : avoir été touché ne signifie pas être immunisé. Le constat n’a rien d’inouï. Une étude le met toutefois en chiffres. Le cabinet Censuswide l’a réalisée en avril pour le compte de Cybereason. Les résultats se fondent sur les réponses de 1263 « professionnels de la sécurité » interrogés dans sept pays dont la France (12 % de l’échantillon).

Parmi ceux ayant affirmé que leur organisation avait choisi de payer une rançon, 80 % ont déclaré qu’une deuxième attaque était survenue par après. Près de la moitié d’entre eux (46 %) supposent qu’elle émanait des mêmes cybercriminels.

Le NCSC, homologue britannique de notre ANSSI, mentionne un tel cas dans un rapport publié en début d’année. Une entreprise qui avait payé environ 6,5 millions de livres s’était retrouvée, moins de deux semaines plus tard, piégée par le même acteur.

Payer la rançon ne garantit par ailleurs pas de récupérer ses données. D’un côté, il y a ceux qui admettent que leur organisation n’en a jamais revu la couleur (3 % de l’échantillon global). De l’autre, ceux qui expliquent qu’elles étaient corrompues au moins en partie (46 %).

« Dans la plupart des cas, payer ne paye pas », résume Cybereason. Non sans reconnaître que les mécanismes d’extorsion des ransomwares renforcent parfois le sentiment d’urgence. Illustration avec le groupe DarkSide, qui a parfois menacé de communiquer des données confidentielles à des traders.

Ransomwares : des pertes malgré les assurances

Autre constat – là aussi pas nouveau – que dresse l’étude : les assurances cyber ne couvrent pas toujours toutes les pertes. On nous donne un exemple : la ville de La Nouvelle-Orléans, victime d’un ransomware fin 2019. Quelques semaines après l’incident, la maire LaToya Cantrell estimait la facture à au moins 7 millions de dollars. Et précisait que la Ville avait pu récupérer environ 3 millions.

Chez Sopra Steria aussi, les polices d’assurance n’ont pas tout couvert après l’épisode Ryuk survenu en octobre 2020. La SSII avait d’abord dit anticiper une réduction de marge opérationnelle de 40 à 50 millions d’euros. Dans ses comptes annuels consolidés, elle a annoncé des charges opérationnelles à hauteur de 5,3 millions d’euros.

Chez Cognizant, victime de Maze au printemps 2020, on a livré une estimation d’impact sur le chiffre d’affaires trimestriel : 90 points de base.

FedEx avait pour sa part communiqué sur un recul de 300 millions de dollars pour son résultat d’exploitation trimestriel, après avoir été touché par NotPetya en juin 2017. L’estimation incluait aussi le manque à gagner lié à l’ouragan Harvey.

Illustration principale © Ldanielfoster437via Visualhunt / CC BY-NC-SA