Le coût inévitable des attaques de ransomwares

Les ransomwares sont actuellement l'une des cybermenaces les plus dévastatrices pour les entreprises. Ils peuvent avoir des conséquences irréparables pour les systèmes, les données et la réputation de votre entreprise, mais également causer un préjudice financier majeur.

Nous allons nous intéresser à la dimension financière des attaques de ransomwares, qui ne se limite pas au paiement de la rançon, loin de là. Même si elles refusent de payer, les victimes s'exposent à des dépenses importantes et à une perte de chiffre d'affaires pendant toute la durée de l'incident, du processus de confinement et de reprise, et potentiellement pendant les semaines et les mois qui suivent l'attaque.

Les coûts financiers majeurs des attaques de ransomwares pour les entreprises sont à la fois directs et indirects. Parmi les coûts directs, on peut citer en premier lieu le montant de la rançon, payée en échange d'une clé de déchiffrement ou contre la promesse de l'attaquant ne pas diffuser les données volées ou de ne pas lancer d'attaque de déni de service sur les serveurs publics de l'entreprise, etc. À cela s'ajoute par exemple le coût des honoraires des experts engagés pour éliminer les malwares et restaurer les systèmes affectés. Quant aux coûts indirects, ils peuvent inclure la perte de productivité et de chiffre d'affaires due à l'interruption d'activité, la dégradation de l'image de marque, les amendes pour non-conformité et les frais de justice.

Coûts directs

L'une des rançons les plus élevées connues à ce jour, d'un montant de 70 millions de dollars, a été réclamée lors d'une attaque avec le ransomware REvil contre l'éditeur de logiciels Kaseya. Le montant des rançons, qui peut aller de quelques milliers à plusieurs dizaines de millions de dollars, dépend du degré de sophistication du cybercriminel et de sa connaissance du niveau de solvabilité de la cible.

La somme exigée correspond parfois à un pourcentage (généralement 3 %) du chiffre d'affaires annuel de l'entreprise ciblée.

Les experts estiment que le paiement de la rançon ne représente qu'une petite partie (souvent pas plus de 15 %) du coût global d'une attaque de ransomware.

Coûts indirects

Le coût induit par l'interruption d'activité et la restauration des données perdues constitue une part majeure des dépenses globales liées à une attaque de ransomware. Après un incident de ce type, une entreprise met en moyenne 22 jours pour se rétablir. Le coût moyen de l'interruption d'activité est souvent cinquante fois plus élevé que le montant de la rançon exigée.

Dans le sillage d'une attaque de ransomware, toute l'entreprise doit être focalisée sur la reprise d'activité : les équipes informatiques s'emploient à restaurer les données chiffrées ou endommagées et à relancer les opérations, tandis que les équipes marketing, juridique et les RH, entre autres, gèrent la communication de crise. Les autres coûts d'une attaque de ransomware peuvent inclure la perte d'opportunités de vente, la baisse de la fourniture de produits et de la prestation de services, l'atteinte à la réputation, les honoraires des consultants externes et des sous-traitants chargés d'accélérer la reprise d'activité, la perte de fonds propres pour les entreprises cotées en bourse, les amendes infligées par les organismes de réglementation pour non-respect des mesures de protection des données client ou autres violations de conformité, les pénalités financières à verser aux clients pour non-respect des accords de niveau de service, etc.

De plus, ces attaques mettent en évidence les failles dans les défenses de cybersécurité d'une entreprise, ce qui nécessite l'analyse des données d'investigation numérique pour identifier la vulnérabilité exploitée par l'attaque, l'élaboration d'un plan pour combler ces failles afin de prévenir le risque de récidive, et enfin des investissements supplémentaires en technologies et processus de cybersécurité, ainsi qu'en compétences humaines, pour appliquer les mesures de correction.

Le coût global moyen d'une compromission de données — hors versement de la rançon — devrait atteindre les 5 millions dollars en 2023 selon les prévisions.

Il n'existe pas de méthode universelle pour évaluer le coût de cyberattaques destructrices. Les pertes financières subies par les entreprises dépendent en grande partie de plusieurs facteurs, tels que :

• Le type des données chiffrées ou compromises pendant l'attaque. S'il s'agit de données critiques, l'entreprise va sans doute devoir payer une rançon pour les récupérer ou, si elles ne peuvent être restaurées, subir des coûts pour les remplacer.

• Les amendes réglementaires, en particulier si des données particulièrement sensibles ont été perdues ou exposées.

• La perte de productivité, de chiffre d'affaires et les autres coûts dus à l'incapacité de l'entreprise à mener une activité normale.

• L'atteinte à la réputation. Certains clients et partenaires risquent de restreindre ou de cesser leur relation avec l'entreprise ciblée par crainte pour la sécurité de leurs données ; des prospects sont susceptibles de reporter la conclusion d'un contrat, voire de mettre un terme au dialogue ; une publicité négative peut avoir des effets indésirables sur la confiance des investisseurs et le cours des actions.

Si elles prennent le temps de passer en revue tous ces facteurs, les entreprises prendront la juste mesure du coût à court et long terme induit par une attaque de ransomware et comprendront pourquoi il est nécessaire de mettre en place un plan d'intervention sur incidents.

Lorsqu'une entreprise paye une rançon, elle pense généralement éliminer le risque posé par la cyberattaque, ce qui peut être dangereux pour plusieurs raisons :

• Les cybercriminels disposent peut-être encore d'un accès aux systèmes et données de l'entreprise.

• Ils peuvent avoir exfiltré des données sensibles susceptibles d'être divulguées en cas de refus de paiement.

• Le paiement de la rançon ne garantit pas que les cybercriminels ne lanceront pas d'autres attaques.

• Le paiement de la rançon peut encourager d'autres cybercriminels à cibler l'entreprise.

Les exemples d'attaques de ransomwares ayant eu un impact financier sur les entreprises visées ne manquent pas et concernent tous les secteurs, zones géographiques et tailles d'entreprise.

Selon le ministère de la Justice américain, environ 75 % de l'ensemble des attaques de ransomwares ont ciblé des petites entreprises. Une récente étude montre également que 60 % des PME ayant subi une cyberattaque disparaissent dans les six mois.

• En septembre 2022, le gang de ransomware Hive a revendiqué quatre victimes en une semaine. Les cyberpirates ont réussi à accéder aux systèmes d'Empress EMS (Emergency Medical Services), un fournisseur de services d'urgence médicale et d'ambulance basé à New York. Plus de 320 000 individus ont été affectés par cet incident.

• En 2022, Damart, fabricant de vêtements français comptant plus de 130 magasins dans le monde, a été ciblé par une attaque de ransomware assortie d'une demande de rançon de 2 millions de dollars. L'infection par le ransomware a perturbé le traitement des nouvelles commandes et provoqué l'indisponibilité du service client.

• En 2022 également, Nvidia a été victime d'une attaque de ransomware ayant entraîné la diffusion en ligne d'identifiants de collaborateurs et d'informations propriétaires. Le groupe de ransomware Lapsus$ a prétendu avoir exfiltré un téraoctet de données de l'entreprise et réclamé une rançon d'un million de dollars, plus un pourcentage de frais non spécifié.

• Le Lincoln College, situé dans l'Illinois, a dû fermer ses portes après une attaque de ransomware survenue en décembre 2021 qui a provoqué l'arrêt de tous ses systèmes de recrutement, de conservation des données et de financement.

Ces exemples montrent les divers aspects de l'impact financier et du coût réel des attaques de ransomwares pour les entreprises, selon la taille et le type d'activité, l'ampleur de l'attaque et la réponse qui y est apportée.

Les opérateurs de ransomwares choisissent leurs victimes dans tous les secteurs. Pourtant, certains domaines d'activité, comme la santé, les services financiers, le service public, l'enseignement et la technologie, sont plus exposés du fait de leur vulnérabilité à des pressions externes spécifiques.

Soins de santé — Les hôpitaux, qui détiennent des données sensibles de patients que pourraient exploiter des cyberpirates, sont généralement moins bien équipés en matière de cybersécurité que d'autres secteurs alors que la mise à l'arrêt de systèmes de soins de santé peut mettre en danger la vie des patients.

Services financiers – Les banques et autres établissements financiers stockent des données client confidentielles qui peuvent être utilisées par des cybercriminels pour extorquer de l'argent à leurs victimes ou usurper leur identité. Les organes de réglementation privés et publics peuvent lourdement sanctionner les entreprises qui violent les règles de conformité relatives à la confidentialité des données.

Organismes publics – Les organismes publics possèdent ou gèrent souvent des données d'infrastructure critiques ou des informations confidentielles exploitables par des cybercriminels pour faire chanter leurs victimes ou perturber les opérations. Les dirigeants politiques sont sensibles aux réactions du public en cas de mise à l'arrêt de services publics indispensables sur de longues périodes.

Établissements d'enseignement – Ces établissements détiennent des informations d'identification personnelle ou des documents de recherche qui peuvent être utilisées par des cyberpirates pour extorquer de l'argent à leurs victimes ou être vendues sur le marché. Compte tenu des contraintes budgétaires et du manque de personnel informatique, ainsi que du manque de vigilance des étudiants quant aux sites Web qu'ils consultent et aux applications qu'ils téléchargent, leur environnement technologique est bien plus vulnérable que celui des entreprises.

Technologie – Les entreprises de technologie sont confrontées aux mêmes problèmes que les autres : elles peinent à installer rapidement les correctifs de vulnérabilités connues et à contrer les cybermenaces les plus récentes. Dans leur cas, cependant, l'atteinte à la réputation a plus de répercussions que pour les entreprises de secteurs non technologiques : une entreprise de technologie victime d'une attaque de ransomware ou d'autre malware est plus susceptible de perdre ses clients, prospects et partenaires.

Selon un récent rapport, les attaques de ransomwares ont explosé en 2022. Dans 25 % des compromissions, un ransomware était impliqué. De plus, le pourcentage d'entreprises victimes de ces menaces a atteint 66 % en 2021, soit une augmentation de 78 % par rapport à 2020.

Les cybercriminels, conscients que de nombreuses entreprises sont prêtes à payer pour éviter les perturbations et les coûts significatifs liés à une attaque de ransomware, n'ont pas manqué d'augmenter de façon drastique le montant moyen des rançons. Le Washington Post a notamment révélé que les montants des rançons avaient bondi de 70 % en 2021.

L'émergence des cryptomonnaies, comme le Bitcoin, a également favorisé la réussite des gangs de ransomware et leur capacité à échapper aux forces de l'ordre. Le paiement des rançons en cryptomonnaie, difficile à tracer, facilite la conversion en argent liquide. De plus, de nombreuses organisations cybercriminelles opèrent dans le Dark Web.

Les opérateurs de ransomware ne se limitent plus aux attaques cryptographiques. Ils procèdent de plus en plus souvent en exfiltrant furtivement un volume considérable de données sensibles avant de déclencher leur attaque. Une entreprise qui pourrait hésiter à verser une rançon pour obtenir la clé de déchiffrement, sera beaucoup plus encline à payer pour empêcher le cybercriminel de divulguer des données sensibles en ligne et l'exposer à des risques juridiques, d'atteinte à la réputation et de non-conformité.

Les exemples de telles attaques sont légion. Optus, filiale de Singtel et second opérateur australien de téléphonie mobile (avec plus de 10,5 millions d'abonnés), a été victime d'une violation de sécurité en septembre 2022. Les cyberattaquants ont affirmé avoir exfiltré les données de 11 millions de clients et réclamé une rançon d'un million de dollars.

Marriott International a reconnu que les informations privées de 500 millions de ses clients avaient été volées lors d'une compromission de données en 2022. Lors de l'attaque de Twitter, des dizaines de comptes très en vue ont été piratés afin de mener des escroqueries à la cryptomonnaie.

La rançon moyenne payée lors d'une attaque de ransomware est difficile à estimer avec précision. En effet, toutes les attaques ne sont pas signalées et les coûts induits varient de façon importante en fonction de la taille et de la nature de l'entreprise cible, du volume de données chiffrées et de la rançon réclamée. Cela étant, selon certaines estimations, le coût des attaques de ransomwares pourrait se compter en milliards de dollars par an.

Selon le rapport 2022 d'Acronis sur les cybermenaces, le coût total moyen d'une compromission de données aux États-Unis serait d'environ 9,5 millions de dollars. Comme indiqué précédemment, le coût moyen par incident au niveau mondial devrait dépasser les 5 millions de dollars en 2023.

Dans leur rapport 2022 sur le marché du ransomware, les analystes de Cybersecurity Ventures estiment que les ransomwares coûteront au total à leurs victimes 265 milliards de dollars par an d'ici 2031.

Selon les données compilées par Statista dans une enquête réalisée en 2022 auprès de professionnels de l'informatique du monde entier, près de 72 % des personnes interrogées ont déclaré avoir payé la rançon et récupéré les données compromises.

Néanmoins, selon l'entreprise d'analyse de blockchain Chainalysis, le nombre de rançons payées a chuté de plus de 40 % entre 2021 et 2022, ce qui indique une résistance de la part des victimes. Dans son rapport 2023 sur la cryptocriminalité, elle précise que les opérateurs de ransomware ont extorqué 456,8 millions de dollars à leurs victimes en 2022, soit une baisse significative par rapport aux 765,6 millions en 2021 et aux 765 millions en 2020.

Certaines polices de cyberassurance peuvent protéger contre les attaques de ransomwares, mais leurs couvertures et conditions spécifiques varient selon l'assureur et le contrat souscrit. Certains contrats peuvent couvrir le paiement de rançons, tandis que d'autres se limiteront aux coûts de restauration des données et systèmes.

Mais attention, si de nombreux contrats de cyberassurance couvrent les attaques de ransomwares, les primes ont augmenté de façon significative ces dernières années en raison de la hausse du nombre de cyberattaques au niveau mondial. Les compagnies d'assurance, du fait de leur très bonne connaissance des risques liés aux activités en ligne, ont augmenté leurs primes en conséquence.

Le coût d'une restauration après une attaque de ransomware peut être très variable selon l'ampleur et la gravité de l'incident et ne se limite pas au paiement de la rançon.

Il comprend également les dépenses liées à la restauration de données et des systèmes, aux frais de justice et amendes pour infraction aux règles de conformité, ainsi qu'à la dégradation de l'image de marque. Selon certains rapports, le coût moyen d'une attaque de ransomware est de 4,54 millions de dollars, sans compter le montant de la rançon qui est en moyenne de 812 360  dollars.

De nombreuses méthodes peuvent être utilisées pour se remettre d'une attaque de ransomware, mais le plus important est de disposer d'une solide stratégie de sauvegarde et de reprise d'activité après sinistre qui vous permettra de restaurer vos données en cas de chiffrement.

Vous devez également installer un antivirus, une protection antimalware et un logiciel d'authentification à deux facteurs pour prévenir l'infection initiale. Il est également important de prévoir des mesures pour éviter que les attaques ne se répètent, le coût de la prévention étant bien inférieur à celui de la restauration.

Les grandes entreprises prospères ne sont pas les seules victimes des cyberattaques. Des entreprises plus petites, aux budgets et au niveau d'expertise plus limités, peuvent être également ciblées.

Quelle que soit la taille de votre entreprise, vous devez absolument vous doter d'un solide plan de sauvegarde et de reprise d'activité après sinistre afin d'assurer la continuité de vos activités. Vous pourrez ainsi restaurer rapidement vos données en cas de compromission d'un système.

Autres moyens utiles pour protéger vos données :

• Sensibilisez vos collaborateurs aux attaques de ransomwares et à leur déroulement. Ils doivent connaître les risques encourus s'ils ouvrent des pièces jointes à un e-mail et cliquent sur des liens provenant de sources inconnues.

• Mettez en place des mesures de sécurité, telles que des pare-feu, des systèmes de détection et de prévention des intrusions, une authentification multifacteur et le filtrage des e-mails.

• Effectuez toutes les mises à jour de vos systèmes et logiciels en appliquant les derniers correctifs de sécurité. Vous pourrez ainsi corriger les vulnérabilités connues pouvant être exploitées par les cybercriminels.

Le ransomware est une menace évolutive. Les petites entreprises doivent prendre des mesures proactives pour se protéger contre les pertes financières connexes.

En investissant dans des solutions de cybersécurité, en apprenant à leurs collaborateurs à détecter les activités suspectes, en disposant de sauvegardes fiables pour la restauration des données et d'un plan complet pour prendre en charge ces menaces, les entreprises peuvent réduire les coûts associés aux attaques de ransomwares.

Acronis Cyber Protect peut vous protéger contre les attaques de ransomwares

Acronis Cyber Protect est une solution de cyberprotection intégrée et rentable qui utilise l'intelligence artificielle (IA) pour détecter les activités malveillantes et protéger les entreprises contre les attaques de ransomwares. Elle analyse le comportement des fichiers et des applications d'un système, neutralise les processus malveillants et corrige automatiquement les dégâts occasionnés.

Son puissant moteur antiransomware détecte et bloque de façon proactive les tentatives de chiffrement ou de suppression de vos données, et protège également contre d'autres types de malware. En outre, Acronis Cyber Protect peut rapidement restaurer les données chiffrées par un ransomware grâce à des fonctionnalités de pointe de sauvegarde des données et de reprise d'activité après sinistre. C'est l'outil indispensable à toutes les entreprises.

Vous voulez voir Acronis Cyber Protect en action ? Commencez votre évaluation gratuite de 30 jours dès aujourd'hui !