« Traditionnellement, les administrations ne sont pas des cibles privilégiées des attaques de ransomwares car elles n’ont pas autant de moyens financiers que les entreprises, mais aussi parce que les groupes cybercriminels préfèrent éviter d’attirer l’attention des forces de l’ordre. Cependant, lorsqu’elles sont touchées, elles ne sont guère protégées faute de budget alloué à la mise en place des mesures supplémentaires de cybersécurité approfondie, notamment des équipes de chasse aux menaces ou des centres de sécurité opérationnelle. L’une des raisons est que, tandis que les administrations collectent une grande quantité d’informations sensibles, ces informations doivent demeurer facilement accessibles. L’autre raison est l’obligation de consacrer la majorité de leur budget à leurs administrés. Si les contribuables peuvent constater l’état de propreté des rues ou la qualité de l’enseignement dans les établissements scolaires, ils ne peuvent en revanche pas “voir” une cyberattaque ni en quoi une solution managée de détection et de réponse (MDR) serait nécessaire pour se défendre des ransomwares », observe Chester Wisniewski, chercheur principal chez Sophos.

En dehors d’une fréquence de chiffrement élevée, le secteur public enregistre également une forte baisse en 2021 du volume de données chiffrées récupérées après versement de la rançon, en comparaison de l’année précédente : 58 % en 2021 contre 70 % en 2020. Ce pourcentage est également inférieur à la moyenne intersectorielle (61 %).

Parmi les autres résultats de l’enquête :
• En 2021, le nombre des attaques de ransomwares contre les administrations locales a augmenté de 70 %. 58 % d’entre elles ont ainsi été ciblées, contre 34 % en 2020.
• Le coût de récupération après une attaque pour les administrations est trois fois supérieur au montant moyen des rançons payées dans le secteur public.

À la lumière des résultats de l’enquête, les experts de Sophos préconisent les bonnes pratiques suivantes pour tous les acteurs de tous les secteurs :
· Installer et maintenir des défenses de haute qualité à tous les points de l’environnement. Passer régulièrement en revue les mesures de sécurité pour s’assurer qu’elles répondent toujours aux besoins de l’entreprise.
· Chasser proactivement les menaces afin d’identifier et de bloquer les cyberattaquants avant qu’ils ne puissent passer à l’action. Si l’équipe interne ne dispose pas du temps ou des compétences nécessaires pour s’en charger, externaliser cette tâche auprès d’un spécialiste MDR (Managed Detection & Response).
· Renforcer l’environnement informatique en recherchant et colmatant les principales failles de sécurité : systèmes non corrigés, machines non protégées et ports RDP ouvert, par exemple. Les solutions XDR (Extended Detection & Response) sont idéales pour contribuer à y remédier.
· Se préparer au pire pour savoir comment réagir en cas de cyberincident et actualiser le plan de réponse.
· Réaliser des sauvegardes et tester leur restauration afin que l’entreprise puisse reprendre son activité le plus vite possible, avec un minimum d’interruption.

L’enquête à l’origine de ce rapport a été réalisée auprès de 5600 professionnels de l’informatique, dont 199 dans le secteur public, au sein d’établissements de taille moyenne dans 31 pays.