Ransomware : Eurofins montre que même en payant, ça coûte cher

De l’ordre de 62 M€. C’est la moyenne des estimations de perte de chiffre d’affaires subie par Eurofins Scientific, au mois de juin, du fait d’une compromission de ses systèmes d’information par un ransomware. Le groupe vient d’indiquer ce chiffre à l’occasion de la publication de ses résultats semestriels.

Eurofins avait indiqué, début juin, que « ses équipes de supervision de la sécurité [avaient] détecté une forme de rançongiciel ayant perturbé certains de ses systèmes d’information ». Immédiatement, « de nombreux systèmes et serveurs ont été déconnectés […] pour contenir l’activité de cette nouvelle version de maliciel ». Une semaine plus tard, Eurofins expliquait que « le ransomware impliqué apparaît avoir été une nouvelle variante de maliciel qui n’était initialement pas détectable » par les outils de protection en place dans son infrastructure. Elle le fut grâce à une mise à jour « quelques heures » plus tard, mais trop tard, donc.

Fin juin, Eurofins assurait que « l’activité de la vaste majorité des laboratoires affectés » avait repris en date du 17 juin. Restait encore à traiter le cas de systèmes de développement et de back office « moins importants » ainsi que de filiales « représentant moins de 2 % du chiffre d’affaires du groupe ».

Eurofins indique aujourd’hui que la couverture assurantielle dont profite le groupe « excède » les estimations de pertes. Tout en précisant que les discussions restent en cours pour déterminer « et s’accorder » sur le montant exact des dommages. Et peut-être les discussions portent-elles au passage sur un point souvent délicat : celui de la rançon. Car début juillet, nos confrères de la BBC révélaient que celle-ci avait été payée – sans que le montant ne soit précisé.

S’il le fallait, ces éléments rappellent à quel point le paiement d’une rançon ne constitue en rien une solution miracle. Et cela même si le cas n’est pas rare. Fin juin, chez Wavestone, Gérôme Billois reconnaissait la réalité de la chose : « je sais bien que les rançons sont payées (trop) souvent ». Le RSSI Loïs Samain souligne au passage que « beaucoup de sociétés travaillent pour ces assurances et s’occupent justement de payer ces rançons pour les entreprises (ils font tiers). Et ça paye chaque semaine, même en France ! »

Mais si certains peuvent l’appréhender comme la « dernière solution avant de tout devoir reconstruire », comme le faisait alors remarquer Loïs Samain. Toutefois, « ça ne change pas grand-chose au final de payer, il faut quand même tout déchiffrer, réinstaller, relancer les systèmes, etc. », soulignait Gérôme Billois. Au printemps, le directeur de la practice cybersécurité de Wavestone avait d’ailleurs accepté de partager son expérience relative aux enjeux de la reconstruction après une compromission par ransomware. Et force est de constater qu’ils sont nombreux.

Mais l’exemple d’Eurofins renvoie également au sujet de l’assurance et en particulier à celui de l’importance croissante du volet cyber dans les politiques globales de gestion des risques. Plus tôt cette année, les cas DLA Piper et Mondelez ont bien souligné la nature critique du type d’assurance.