Le rapport 2023 de Sophos sur les rançongiciels indique un taux d’attaque stable, une efficacité accrue des acteurs malveillants, mais une résilience plus élevée des entreprises.
Sophos a publié, le 8 mai 2023, son rapport annuel sur l’état de la menace par rançongiciels dans le monde. Il s’appuie sur un sondage, réalisé par un organisme indépendant auprès des responsables IT de 3 000 sociétés dans 14 pays du monde.
Deux entreprises sur trois victimes d’un rançongiciel l’année dernière
Dans le détail, les sondeurs ont interrogé 500 entreprises pour les États-Unis, 300 pour l’Allemagne, l’Inde et le Japon, 200 pour l’Australie, le Brésil, l’Italie, le Royaume-Uni et l’Afrique du Sud, 150 pour la France et l’Espagne, 100 pour l’Autriche, Singapour et la Suisse.
L’ensemble est suffisamment solide pour bien refléter les grandes orientations mondiales. C’est moins vrai des analyses par pays, le faible nombre d’entreprises interrogées pouvant expliquer des variations parfois considérables. Le taux d’attaque de l’Autriche et de Singapour, par exemple, passant respectivement de 84 % à 50 % et de 65 % à 84 %, ne semble pas statistiquement pertinent.
En revanche, le taux d’attaque mondial, stable à 66 %, est une indication beaucoup plus fiable. Deux entreprises interrogées sur trois ont donc subi une attaque par ransomware au cours des 12 derniers mois. Le sondage ayant eu lieu entre janvier et mars 2023, les données du rapport 2023 couvrent globalement l’année 2022.
Un taux de réussite des attaques et des durées de remédiation en hausse
Les attaquants semblent avoir d’ailleurs gagné en efficacité, avec un taux de réussite des attaques par rançongiciel qui a bondi de 65 % à 76 %, et des temps de remédiation en hausse. Si, dans le rapport 2022, 14 % des entreprises se remettaient d’une attaque en moins d’une journée, elles ne sont plus 8 % à aller aussi vite. En revanche, 6 % des entreprises ont mis entre 3 et 6 mois à se remettre (4 % dans le rapport 2022), 18 % entre 1 et 3 mois (contre 16%).
30 % des attaques par rançongiciel ont, par ailleurs, dérobé les données en plus de les avoir chiffrées. Ce nombre peut surprendre, car les plus médiatiques attaques par ransomware concernent souvent de grandes entreprises dont les données ont été volées, parce qu’elles avaient une valeur commerciale. Mais le commun des rançongiciels visent des entreprises dont les données n’ont qu’une faible valeur à la revente sur les marchés cybercriminels.
Sur le front des méthodes d’infection utilisées, l’exploitation de vulnérabilités arrive en tête (36 % des cas), suivi du piratage d’identifiants (29 %), des e-mails malveillant (18%) et du phishing (13%).
Près d’une entreprise sur deux décide de payer la rançon
Concernant la réaction face à ces attaques, 47 % des entreprises frappées ont décidé de payer la rançon, un taux assez élevé. Au bout du compte, 97 % des entreprises touchées ont fini par récupérer l’ensemble des données volées, dont 70 % ont utilisé des sauvegardes, 46 % grâce au paiement des rançons, et 2 % par d’autres méthodes.
Au final, sur les 3 % d’entreprises qui n’ont pas récupéré les données, 1 % avaient payé la rançon. Et 20 % au moins de celles qui ont payé la rançon ont dû avoir également recours à leurs sauvegardes.
Les coûts de remédiation sont, au final, plus élevés en cas de paiement de rançon (750 000 $ en médian, 2,6 millions $ en moyenne), qu’en cas de non-paiement (3750 000 $ en médian, 1,62 millions $ en moyenne).
Payer la rançon est loin d’être une solution magique pour récupérer ses données
Cela n’indique pas forcément que, face à ransomware, ne pas payer la rançon est toujours la solution la moins coûteuse. Ces chiffres tendent plutôt à prouver qu’une entreprise disposant d’une bonne résistance aux conséquences d’un chiffrement des données (notamment avec des sauvegardes bien réalisées et bien protégées) sait qu’elle pourra s’en sortir à moindre coût.
Elle décide donc de ne pas payer parce qu’elle sait qu’elle pourra s’en sortir seule. A l’inverse, une entreprise ne disposant pas de solutions de remédiation suffisantes aura tendance à payer, et cumulera le coût de la rançon et celui de la remédiation.
En effet, comme l’indique John Shier, spécialiste de la cybersécurité chez Sophos, à Numerama, « les hackers criminels laissent croire qu’une restauration des données est une tâche facile, ils vendent leur clé de déchiffrement contre la solution ultime pour un retour à la normale rapide. Dans les faits, les fichiers restent très souvent corrompus et demandent un long travail de réhabilitation ».