Payer la rançon lors d’une attaque de rançongiciel est souvent le meilleur moyen de se faire attaquer une deuxième fois. C’est ce que nous apprend une étude commandée par Cybereason, réalisée en avril 2021 auprès de 1263 professionnels de la sécurité dans différents pays (États-Unis, Allemagne, Espagne, Royaume-Uni, Singapour, Émirats Arabes Unis et France). 60% des organisations françaises ayant choisi de payer la rançon demandée à la suite d’une attaque ont été la cible d’une seconde attaque. Ce taux monte même à 80% au niveau mondial.

Parmi les personnes interrogées qui ont indiqué que leur organisation avait payé la rançon, 3% ont indiqué qu’elles n’avaient récupéré l’accès à aucune des données cryptées et 46% ont indiqué qu’elles que certaines ou toutes les données qu’elles avaient récupérées étaient corrompues. Seulement 51% d’entre elles ont déclaré avoir récupéré l’accès à leurs données cryptées sans aucune perte.

« Une fois qu’une organisation a été compromise par un rançongiciel, aucune bonne option n’est disponible », écrivent les auteurs de l’étude. Si la rançon n’est pas payée, l’entreprise peut s’arrêter pendant des jours, voire des semaines, en attendant que les données soient restaurées. Dans le cas d’une attaque par double extorsion, ne pas payer la rançon signifie également accepter le risque que des données sensibles ou la propriété intellectuelle soient exposées publiquement ou vendues au plus offrant sur le Dark Web. L’impact financier de la perte d’activité et de productivité, combiné au coût des efforts de récupération, peut souvent dépasser la demande de rançon.

Mais payer la rançon, comporte également des risques. Bon nombre d’organisations payant la rançon constatent qu’une partie ou la totalité de leurs données reste inutilisable. L’outil de décryptage fourni par les attaquants est souvent bogué ou lent, obligeant les entreprises à restaurer à partir de leurs propres sauvegardes. Et rien ne garantit que les données ne seront pas vendues en ligne malgré le paiement de la rançon.

Souscrire une assurance contre les cyber-risques n’est pas toujours d’une grande utilité : 21% de ceux ayant déclaré que leur organisation avait souscrit une police d’assurance cyber se sont rendu compte que celle-ci n’avait pas couvert les pertes occasionnées par les attaques.

Le RSSI est l’une des victimes les plus fréquentes des événements de sécurité. La longévité moyenne d’un RSSI à son poste a baissé au fil des ans et se situe actuellement autour de 18 à 26 mois. Près d’un tiers des personnes interrogées dans notre enquête (32 %) ont indiqué qu’elles avaient perdu leur poste à la suite d’une attaque de ransomware, soit par licenciement, soit par démission.

L’étude donne aussi des indications sur l’évolution du montant moyen des demandes de rançon au cours des dernières années. La demande moyenne de ransomware en 2018 était de 6.000 dollars. Ce nombre a été multiplié par 14 en 2019 pour atteindre 84.000 dollars, puis a plus que doublé à nouveau en 2020 pour atteindre 178.000 dollars. Un certain nombre d’attaques en 2021 ont vu le montant de leur rançon atteindre des sommets : Colonial Pipeline aurait payé une rançon de 5 millions de dollars à DarkSide, et Acer et Apple ont été frappés par des demandes de rançon de 50 millions de dollars.

Enfin, la probabilité de subir une attaque est très variable selon les pays. Avec 70% des organisations déclarant avoir été l’objet d’une attaque au cours des 24 derniers mois, la France est bien plus ciblée par les rançongiciels que les États-Unis par exemple, où seulement 30% des organisations ont été exposées. De la même façon, la part des entreprises acceptant de payer la rançon varie significativement selon les pays : plus de 80% des entreprises américaines se sont exécutées contre moins de 50% en France.