60% des entreprises suisses touchées par les malwares de chantage

Le fournisseur de services de sécurité informatique Sophos a publié son étude annuelle "State of Ransomware 2022". Elle donne un aperçu de l'évolution des malwares d'extorsion dans la pratique. Le rapport montre que 60% des entreprises interrogées en Suisse (66% au niveau mondial) ont été touchées par un ransomware en 2021, contre 46% en 2020. La rançon moyenne payée par les entreprises suisses dont les données ont été cryptées lors de leur plus grande attaque de ransomware a diminué d'environ 6% et s'élève à 84 052 CHF (89 147 CHF l'année précédente). 35% (46% au niveau mondial) des entreprises suisses dont les données ont été cryptées ont payé la rançon pour récupérer leurs données, même si elles disposaient d'autres moyens de récupération de données, comme des sauvegardes. Le rapport résume l'impact des ransomwares sur 5 600 entreprises de taille moyenne dans 31 pays d'Europe, d'Amérique du Nord et du Sud, d'Asie-Pacifique et d'Asie centrale, du Moyen-Orient et d'Afrique. 965 entreprises au niveau international (7 en Suisse) ont fourni des informations concrètes sur les paiements effectués par ransomware.

Payer une rançon : une option rapide mais risquée

"Outre l'escalade des paiements, l'enquête montre également que la proportion de victimes prêtes à payer continue d'augmenter, même si elles ont d'autres options à leur disposition", commente Chester Wisniewski, Principal Research Scientist chez Sophos. "Il peut y avoir plusieurs raisons à cela, comme des sauvegardes incomplètes ou l'empêchement de publier des données volées sur un site de fuites publiques. Après une attaque de ransomware, il y a souvent une forte pression pour reprendre l'activité le plus rapidement possible. La restauration de données cryptées à l'aide de sauvegardes peut être un processus difficile et long. Il est donc apparemment tentant de payer une rançon pour le décryptage des données, car cela semble être une option rapide. Cette approche comporte toutefois des risques élevés. Les entreprises ne savent pas ce que les pirates ont éventuellement fait sur le réseau en plus de l'attaque par ransomware, par exemple en installant des portes dérobées pour de futures attaques ou en copiant des mots de passe. Si les entreprises ne nettoient pas à fond les données récupérées, elles finiront, dans le pire des cas, par avoir encore des programmes potentiellement malveillants sur leur réseau et seront peut-être exposées à une nouvelle attaque".

Les logiciels malveillants de chantage causent d'immenses dégâts

L'étude "State of Ransomware 2022'" porte sur les incidents et expériences liés aux ransomwares en 2021. L'enquête a été menée par Vanson Bourne, un spécialiste indépendant des études de marché, en janvier et février 2022. Pour l'enquête globale, "affecté par un ransomware" a été défini comme un ou plusieurs appareils affectés par une attaque de ransomware, mais pas nécessairement cryptés. Sauf indication contraire, il a été demandé aux personnes interrogées de faire état de leur attaque la plus importante. Les principaux résultats de l'étude peuvent être résumés comme suit :

• Montant de la rançon : En 2021, aucune des entreprises suisses n'a déclaré avoir payé une rançon d'un million de dollars US ou plus, contrairement à 11% d'un point de vue global. La plupart des entreprises suisses (environ 72%) ont payé des sommes comprises entre 47.834 et 239.175 CHF (50.000 et 250.000 dollars US).
• Davantage de victimes paient une rançonEn 2021, 35% (46% au niveau mondial) des entreprises suisses dont les données ont été cryptées par une attaque de malware de chantage ont payé la rançon. D'un point de vue global, 26% des entreprises qui ont pu restaurer des données cryptées à l'aide de sauvegardes en 2021 ont également payé la rançon.
• Les conséquences d'une attaque de ransomware peuvent être immensesLe coût moyen de récupération après une attaque de ransomware en 2021 était de 1 568 986 CHF pour les entreprises suisses (1,4 million de dollars US / 1 339 379 CHF au niveau mondial). Il a fallu en moyenne un mois pour réparer les dommages et l'interruption d'activité. 93% (globalement 90%) des entreprises suisses ont déclaré que l'attaque avait affecté leur capacité opérationnelle, et 87% des victimes du secteur privé ont déclaré avoir subi des pertes d'activité et/ou de chiffre d'affaires en raison de l'attaque.
• De nombreuses entreprises comptent sur une cyber-assurance pour se remettre d'une attaque de ransomware: En Suisse, 83% (83% au niveau mondial) des entreprises interrogées avaient une cyber-assurance qui les couvrait en cas d'attaque par ransomware. Dans 100 % des incidents suisses, l'assureur a payé une partie ou la totalité des frais encourus, la totalité de la rançon n'a été couverte que dans 38%).
• Quatre-vingt-quatorze pour cent de ceux qui ont souscrit une cyberassurance ont déclaré que leur expérience de souscription avait changé au cours des douze derniers mois : Ce sentiment se traduit principalement par des exigences plus élevées en matière de mesures de cybersécurité, des polices plus complexes ou plus chères et moins d'entreprises offrant une couverture d'assurance.

Les cyber-assurances entraînent-elles une augmentation des demandes de rançon ?

"Les résultats indiquent que nous avons peut-être atteint un point culminant dans le développement des ransomwares, où l'avidité des attaquants à payer des rançons toujours plus élevées se heurte frontalement à un durcissement du marché de la cyberassurance. Les assureurs cherchent de plus en plus à réduire leur risque de ransomware et leur exposition", explique Chester Wisniewski. "Ces dernières années, il est devenu de plus en plus facile pour les cybercriminels d'utiliser des malwares d'extorsion, car presque tout est disponible sous forme de service. De plus, de nombreux fournisseurs de cyber-assurance ont couvert un large éventail de coûts de récupération dus aux ransomwares, y compris la rançon, ce qui a probablement contribué à des demandes de rançon de plus en plus élevées. Les résultats indiquent également que les cyberassurances se durcissent et qu'à l'avenir, les victimes de ransomware seront peut-être moins disposées ou moins en mesure de payer des rançons extrêmement élevées. Malheureusement, il est peu probable que cela réduise le risque global d'une attaque par ransomware. Les attaques de ransomware ne nécessitent pas autant de ressources que d'autres cyberattaques plus artisanales. Par conséquent, toute rançon est un gain qui en vaut la peine, et les cybercriminels continueront à choisir les cibles faciles à atteindre".

Comment se protéger contre les logiciels malveillants de chantage

Sophos recommande les meilleures pratiques suivantes pour se protéger contre les ransomwares et les cyberattaques similaires :

1. Installation et entretien de mesures de protection de haute qualité dans toute l'entreprise. Des audits et des contrôles de sécurité réguliers garantissent que les mesures de sécurité répondent durablement aux exigences de l'entreprise.
2. Rechercher activement les menaces afin d'identifier et de stopper les attaquants avant qu'ils ne puissent lancer leurs attaques. Si l'équipe informatique ou de sécurité n'a pas les ressources ou les connaissances pour le faire elle-même, il convient de faire appel à des spécialistes de la détection et de la réponse gérées (MDR).
3. Le durcissement de l'environnement informatique par la détection et la fermeture des failles de sécurité dangereuses, telles que les appareils non patchés, les ordinateurs non protégés ou les ports RDP ouverts, sont identifiés et éliminés grâce aux solutions de détection et de réponse étendues (XDR).
4. Se préparer au pire. Les entreprises doivent savoir ce qu'il faut faire en cas de cyberincident et tenir leur plan d'urgence à jour.
5. Créer des sauvegardes et tester la restauration afin que l'entreprise puisse reprendre ses activités le plus rapidement possible avec un minimum d'interruptions.

Source et informations complémentaires : Sophos