Ransomware : beaucoup d’entreprises continuent de payer

Le temps passe et, malheureusement, nombre d’entreprises semblent continuer de céder à l’extorsion par rançongiciel. C’est l’une des conclusions d’une étude réalisée par Cyberedge auprès de 1 300 décideurs de la sécurité informatique dans 19 pays, dont la France. Une très large majorité d’entre eux ont vu, au cours des 12 derniers mois, leur organisation souffrir d’un épisode de ransomware – 1 176 sondés. Et beaucoup ont payé l’addition qui leur était présentée : 38,7 %. Mais le message selon lequel céder ne garantit en rien de recouvrer ses données trouve là un écho retentissant : la moitié de ceux qui ont payé la rançon n’ont pas récupéré leurs données. La bonne nouvelle est que plus de 53 % des sondés affectés ont résisté et réussi à récupérer leurs données.

L’échantillon de l’étude de Cybererdge peut paraître faible, mais il fournit en tout cas là des résultats cohérents avec ceux d’une étude, légèrement antérieure, de Vanson Bourne pour Sophos. Pour cette dernière, 48 % des sondés français indiquaient que leur organisation avait été affectée, au cours des douze derniers mois, par des ransomwares. Auprès de Cyberedge, 52 % des experts interrogés dans l’Hexagone font ce constat.

Au total, 84,5 % des sondés en France indiquent avoir été victimes d’au moins une attaque réussie au cours des 12 derniers mois, un chiffre significativement plus élevé qu’outre-Manche (74,7 %) et qu’outre-Rhin (73,2 %), et qui place le pays entre le Canada et la Colombie. En moyenne, près de 80 % des entreprises auraient été touchées au moins une fois par une attaque réussie, dont environ 50 % entre une et cinq fois.

La surprise est, encore une fois, la confiance affichée. Globalement, près de 40 % des sondés estiment peu probable d’être à nouveau affectés cette année. En France, ils sont 32,5 % dans ce cas.

Sur l’ensemble de l’échantillon, la menace perçue comme prédominante est celle des logiciels malveillants – hors rançongiciels – devant, justement, les ransomwares, qui font jeu égal avec les opérations de hameçonnage et le détournement de comptes utilisateurs. La menace interne se place en avant-dernière position, tout juste devant les opérations de type point d’eau – watering hole.

Globalement, le manque de personnel qualifié continue d’arriver en tête des justifications de l’impossibilité à mettre en place des défenses efficaces, devant l’insuffisance de la sensibilisation des utilisateurs finaux, et la quantité de données à traiter. Mais le manque de solution techniques réellement efficaces arrive en quatrième position. Le mythe de la boîte noire à tout faire ? Peut-être. Quoi qu’il en soit, le soutien insuffisant de la direction se place juste derrière. Ce qui ne manque pas d’en dire long sur la sensibilisation des strates les plus élevées de la hiérarchie, comme de la qualité des échanges entretenus avec elle par les sondés.

En France, les sondés indiquent que 11,5 % du budget IT est affecté à la sécurité. Et 3,7 % s’attendent à une progression de leur budget sécurité cette année. Ce qui peut paraître peu comparé à d’autres pays représentés dans l’échantillon, comme le Royaume-Uni, l’Allemagne, l’Italie, ou encore les Etats-Unis et l’Espagne.