Ransomwares : un sytème économique bien étudié

mai 2020 par Jan van Vliet, VP et DG EMEA, chez Digital Guardian

Depuis le milieu des années 2000, les ransomwares constituent l’un des piliers du paysage des cybermenaces. Ils sont utilisés pour tout cibler, des particuliers aux multinationales en passant par les PME. Au cours des dernières années, la popularité des ransomwares semblait décliner en même tant que le monde commençait à prendre la cybersécurité plus au sérieux. De ce fait, les criminels se sont tournés vers des formes d’attaque nouvelles et plus avancées, telles que le crypto-jacking. Mais au moment où les beaux jours du ransomware semblaient révolus, une récente résurgence les a vu remonter tout en haut de la liste des cybercrimes.

L’histoire sans fin des ransomwares

2019 a connu environ 184 millions d’attaques de ransomwares, certaines des plus médiatisées ciblant les administrations des municipalités américaines, telles que Lake City en Floride, Baltimore et Maryland. Bien qu’une grande partie de cette résurgence puisse être attribuée à l’arrivée de nouvelles mutations de ransomware (Dharma, GandCrab et Ryuk étaient parmi les types de ransomware les plus actifs au cours du semestre de cette année), un autre facteur semble également jouer un rôle majeur : la croissance de la cyberassurance.

À première vue, il peut paraître étrange de suggérer qu’une meilleure cyberassurance, plus complète, pourrait en fait mener à une augmentation des attaques de ransomwares cependant un examen plus approfondi des faits semble en tout cas l’indiquer. Pourquoi ? Parce que dans de nombreux cas, payer la rançon revient beaucoup moins cher que d’essayer de récupérer les données perdues par d’autres moyens, pour un coût qui s’élève souvent à plusieurs millions d’euros. Plus les victimes de ransomware ont recours à des assureurs pour payer les rançons, plus les criminels sont encouragés à lancer des attaques de ransomware.

Le marché de la cyberassurance en pleine croissance

Le marché mondial de la cyberassurance devrait passer d’environ 5,3 milliards d’euros de primes payées à l’heure actuelle à 13 milliards d’euros d’ici 2022, selon RBC Capital Markets. Les polices de cyberassurance s’avèrent également beaucoup plus rentables pour les assureurs que de nombreux autres domaines d’assurance. Selon un rapport de la firme de services professionnels Aon basée à Londres, le taux de perte pour les cyberpolices américaines était d’environ 35 % en 2018, ce qui signifie que les assureurs ont payé environ 35 cents de dédommagement de sinistres pour chaque dollar collecté. Ce chiffre est à comparer aux 62% environ de l’assurance dommages, ce qui en fait un domaine de croissance que de nombreuses compagnies d’assurance recherchent activement.

Bien sûr, la résurgence de la menace des ransomwares a également renforcé d’autres domaines de l’industrie de la sécurité comme la récupération de données et la sauvegarde sécurisée dans le cloud. Toutefois, dans de nombreux cas, même si les victimes de ransomware ont de telles sauvegardes en place, elles choisissent quand même de payer l’attaquant par le biais d’une assurance. En effet, le temps nécessaire pour récupérer une sauvegarde cloud complète (qui peut demander un mois ou plus), coûte toujours plus cher en perte de revenus que de simplement payer la rançon. De même pour les assureurs, payer la rançon est moins cher que de payer la facture pour récupérer les données elles-mêmes.

Pour recontextualiser tout cela, plus tôt cette année, l’administration de la ville de Lake City en Floride a payé une rançon d’environ 413 000 € via sa police de cyberassurance. Le gouvernement lui-même n’a dû payer que la franchise de 8 900 euros. La compagnie d’assurance Beazley a réglé le solde de la rançon. Il s’est avéré que cette décision a été prise sur la recommandation de Beazley, car une récupération prolongée à partir de sauvegardes de données aurait presque certainement coûté des millions de dollars. Bien que l’attaque et sa résolution finale aient fait les gros titres des journaux nationaux aux États-Unis, elle a permis à l’administration de la ville ainsi qu’à son assureur d’économiser une somme d’argent conséquente et a également permis aux autorités municipales de reprendre le travail beaucoup plus rapidement.

À l’inverse, l’administration de la ville de Baltimore qui a également été touchée par une attaque de ransomware n’avait pas de cyberassurance à l’époque. Plutôt que de payer la demande de rançon de 67 000 €, l’administration a choisi d’essayer de récupérer les données elle-même, ce qui a coûté plus de 4,7 millions d’euros à ce jour…

Payer c’est encourager les attaques

Lorsque les chiffres sont exposés de cette manière, il est facile de voir pourquoi tant de victimes de ransomware et d’assureurs choisissent de payer les demandes de rançon. Mais il serait naïf de penser que ces actions sont sans conséquences.

Non seulement cela a provoqué la résurgence susmentionnée des attaques de ransomwares, mais cela a également encouragé les attaquants qui demandent des rançons toujours plus importantes en échange des données qu’ils ont volées ou verrouillées. Une estimation récente suggère que le montant moyen d’une rançon s’élève actuellement à environ 32 000 €, soit une multiplication par six au cours des 12 derniers mois seulement. Naturellement, les criminels cherchent à obtenir le plus d’argent possible et le consentement des victimes et assureurs à payer ces sommes toujours plus grosses crée un cercle vicieux.

Sur le long terme, ce sont les compagnies d’assurance qui en paieront le prix. Toutefois, jusqu’à ce que les entreprises investissent dans de meilleurs systèmes de sécurité ou jusqu’à ce qu’une technologie de récupération de données plus fiable et plus rapide fasse son apparition, la tendance actuelle semble devoir se poursuivre pendant un certain temps.