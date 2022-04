Sophos : « État des ransomwares 2022 » : les ransomwares ont frappé 66 % des entreprises interrogées

avril 2022 par Sophos

« Parallèlement à la montée en flèche des montants payés, l’enquête indique que la proportion des victimes cédant au chantage continue également d’augmenter, alors même que celles-ci peuvent avoir d’autres solutions à leur disposition », observe Chester Wisniewski, chercheur principal chez Sophos. « Cela peut s’expliquer par plusieurs raisons, notamment des sauvegardes incomplètes ou encore le désir de prévenir la publication de données volées. Au lendemain d’une attaque par ransomware, la pression est souvent forte pour que l’entreprise soit à nouveau opérationnelle le plus rapidement possible. La restauration de données chiffrées à partir de sauvegardes peut être difficile et longue, c’est pourquoi il peut être tentant de juger plus rapide de payer une rançon pour obtenir la clé de déchiffrement. Or cette option est elle aussi risquée. Les entreprises ignorent ce que les auteurs de l’attaque ont déjà pu faire, par exemple créer des portes dérobées, copier des mots de passe, etc. Si elles ne nettoient pas soigneusement les données récupérées, elles vont se retrouver avec tous ces éléments potentiellement toxiques sur leur réseau et s’exposer ainsi à une nouvelle attaque. »

Voici les principaux résultats du rapport international État des ransomwares 2022, qui couvre les incidents de ransomwares enregistrés en 2021, ainsi que les questions de cyberassurance :

• Le montant moyen des rançons payées augmente – En 2021, 11 % des entreprises déclarent avoir payé des rançons supérieures ou égales à un million de dollars, contre 4 % en 2020, tandis que le pourcentage des entreprises réglant moins de 10 000 dollars est tombé de 34 % à 21 % par rapport à 2020.

• Davantage de victimes paient la rançon – En 2021, 46 % des entreprises dont des données ont été chiffrées par une attaque de ransomware ont versé la rançon. 26 % de celles qui ont pu restaurer leurs données chiffrées à partir de sauvegardes ont néanmoins aussi payé.

• L’impact d’une attaque de ransomware peut être immense – Le coût moyen de récupération après la dernière attaque de ransomware en date a été de 1,4 million de dollars en 2021. Il a fallu aux victimes un mois en moyenne pour se remettre des dommages et des perturbations. 90 % des entreprises indiquent que l’attaque a nui à leur bon fonctionnement et 86 % des victimes du secteur privé qu’elles ont subi une perte de marchés ou de chiffre d’affaires en raison de l’attaque.

• De nombreuses entreprises comptent sur une cyberassurance pour les aider à surmonter une attaque de ransomware – 83 % des entreprises de taille moyenne ont souscrit une cyberassurance qui les couvre en cas d’attaque de ransomware. Dans 98 % des cas, l’assureur a payé tout ou partie des coûts encourus (dont 40 % le montant de la rançon).

• 94 % des entreprises couvertes par une cyberassurance indiquent que leur expérience de celle-ci a évolué au cours des 12 derniers mois, avec des exigences accrues de mesures de cybersécurité, des contrats plus complexes ou plus coûteux ou encore une baisse du nombre des compagnies proposant ce type de protection.

« Ces résultats laissent penser que nous avons peut-être atteint un pic dans l’évolution des ransomwares, alors que l’appétit des cybercriminels pour des rançons toujours plus élevées se heurte à un durcissement du marché de la cyberassurance, les compagnies cherchant de plus en plus à réduire leur exposition aux ransomwares », commente Chester Wisniewski. « Ces dernières années, il est devenu de plus en plus facile pour les cybercriminels de déployer les ransomwares, qui sont quasiment tous disponibles sous forme de service. En outre, de nombreux cyberassureurs ont couvert une grande partie des coûts de récupération, notamment le montant de la rançon, ce qui a vraisemblablement contribué à une augmentation des sommes exigées. Cependant, les résultats indiquent que les compagnies se montrent désormais moins conciliantes et qu’à l’avenir les victimes de ransomwares ne voudront ou pourront sans doute plus payer des rançons exorbitantes. Malheureusement, il est peu probable de parvenir à réduire le risque global d’une attaque de ransomware. Les attaques de ce type ne mobilisent pas autant de ressources que d’autres cyberattaques plus artisanales, par conséquent tout butin est bon à prendre et les cybercriminels vont continuer de rechercher des gains faciles. »

Sophos recommande les meilleures pratiques suivantes contre les ransomwares et les cyberattaques liées :

1. Installer et maintenir des défenses de haute qualité à tous les points de l’environnement de l’entreprise. Vérifier régulièrement les mesures de sécurité pour s’assurer qu’elles répondent toujours aux besoins de l’entreprise.

2. Chasser proactivement les menaces afin d’identifier et de bloquer les adversaires avant qu’ils ne puissent exécuter leurs attaques. Si l’équipe de sécurité interne manque de temps ou de compétences pour s’en charger, externaliser cette tâche auprès d’un spécialiste en MDR (Managed Detection & Response)

3. Renforcer l’environnement informatique en recherchant et colmatant les principales failles de sécurité : correctifs non appliqués, machines non protégées, ports RDP ouverts, etc. Les solutions XDR (Extended Detection & Response) sont idéales à cet égard.

4. Se préparer au pire afin de savoir faire face à un cyberincident. Actualiser régulièrement le plan de réponse.

5. Effectuer des sauvegardes et s’entraîner à les restaurer de sorte que l’entreprise puisse se remettre d’une attaque le plus vite possible, avec un minimum de perturbations.

Méthodologie de l’enquête

L’enquête État des ransomwares 2022 couvrant les incidents de ransomwares enregistrés en 2021 a été réalisée en janvier et février 2022 par le cabinet indépendant d’études de marché Vanson Bourne auprès de 5600 décideurs informatiques dans 31 pays (États-Unis, Canada, Brésil, Chili, Colombie, Mexique, Autriche, France, Allemagne, Hongrie, Royaume-Uni, Italie, Pays-Bas, Belgique, Espagne, Suède, Suisse, Pologne, République tchèque, Turquie, Israël, Émirats Arabes Unis, Arabie saoudite, Inde, Nigeria, Afrique du Sud, Australie, Japon, Singapour, Malaisie, Philippines) au sein d’entreprises de taille moyenne comptant entre 100 et 5000 salariés.

Note : dans le cadre de cette enquête internationale, l’expression « frappé par des ransomwares » signifie qu’un ou plusieurs équipements ont été ciblés par une attaque de ransomware mais sans que des données soient nécessairement chiffrées. Les participants ont été invités à répondre au sujet de l’attaque la plus marquante qu’ils aient eu à subir, sauf indication contraire.