Par Thibaut Perié, Regional Sales Manager de ProLion
Une étude récente de la société de cybersécurité Cybereason a révélé qu’un tiers des entreprises victimes de ransomware ont été contraintes de fermer temporairement ou définitivement à la suite de cette attaque. Selon moi, calculer le coût réel des ransomwares avant une attaque est une question à laquelle il est impossible de répondre. L’étude a révélé que 80 % des victimes de ransomware qui ont payé leur rançon ont subi des attaques répétées. Nombre d’entre elles ont été attaquées moins d’un mois plus tard, parfois par les mêmes attaquants et parfois pour un montant de rançon encore plus élevé.
Même après avoir payé les attaquants, il n’y a aucune garantie qu’une entreprise ou une organisation récupère toutes ses données et puisse reprendre ses activités. L’étude a révélé que parmi les organisations qui ont choisi de payer les attaquants, 54 % ont signalé qu’une partie ou la totalité de leurs données qui avaient été cryptées pendant l’attaque ont été corrompues pendant le processus de récupération. L’étude souligne deux enseignements importants : 1) payer les attaquants de ransomware est une mauvaise idée ; et 2) le coût réel d’une attaque de ransomware est presque impossible à calculer.
Les organisations devraient plutôt se concentrer sur des stratégies de détection et de prévention qui permettent de stopper les attaques par ransomware le plus tôt possible, avant que leurs systèmes et données critiques ne soient mis en danger. Les effets des ransomwares sont variés et souvent imprévisibles, et sont très difficiles à quantifier dans une équation de coûts. Une fois qu’une organisation a été atteinte par un ransomware, elle est immédiatement vulnérable à la perte de systèmes critiques avec des conséquences paralysantes. La menace supplémentaire d’une perte ou d’une fuite de données ajoute à la pression en termes d’atteinte à la réputation et d’amendes potentielles des régulateurs dans le cadre du RGPD.
Par conséquent, il existe essentiellement trois niveaux de coûts potentiels à la suite d’une attaque par ransomware : la demande de rançon initiale, le coût des mesures correctives après l’attaque et le coût de la perte de revenus résultant de la combinaison des temps d’arrêt et de l’inévitable détérioration en termes de réputation qui s’ensuit.
Même si le ransomware est supprimé et que le système est restauré à partir des sauvegardes, le problème ne disparaît pas pour autant. L’attaquant peut toujours avoir un accès par une porte dérobée au réseau et être en mesure de redéployer aussi facilement le même ransomware. Nous observons également de nouvelles tactiques de la part des cybercriminels, notamment des cas où des gangs de ransomware sont restés dans un système et ont facturé des frais d’abonnement afin de ne pas infliger de nouveaux dommages et de repousser d’autres attaquants potentiels.
Les décideurs en matière de cybersécurité ont été continuellement confrontés à des études qui soulignent l’importance des mesures préventives. Si vous pensez toujours qu’il est juste de payer, vous ne savez pas combien un groupe de ransomware demandera, vous ne savez pas combien de temps il faudra ensuite pour reprendre une activité normale, et vous ne savez pas quels autres coûts cachés ou inattendus vous pourriez rencontrer en cours de route.
Vous ne pouvez pas non plus calculer l’impact que l’attaque aura sur vos relations avec les clients. En revanche, le coût des mesures préventives peut être budgétisé et contrôlé. Il s’agit d’un investissement qui contribue à rassurer les clients.
Si vous vous retrouvez à dialoguer avec des cybercriminels, à négocier la restitution de votre réseau et de vos données en toute sécurité et à réfléchir à la décision de payer ou non, alors vous avez déjà manqué à vos obligations envers votre personnel et vos clients.
Le conseil est clair : il n’y a aucun moyen de protéger complètement votre entreprise contre une attaque par ransomware, et les entreprises doivent donc adopter une approche de “défense en profondeur”. Les entreprises doivent adopter une approche de “défense en profondeur”, c’est-à-dire utiliser des couches de défense avec plusieurs mesures d’atténuation à chaque niveau. Vous aurez ainsi plus de chances de détecter une attaque en cours et de l’arrêter avant qu’elle ne cause de réels dommages.
