Ransomware : regards contrastés d’assureurs sur une situation préoccupante

Publié début avril dernier, le Beazley Breach Briefing 2020 a fait état d’une augmentation de 131 % des attaques signalées contre les clients de l’assureur l’an dernier. Le rapport s’appuie pour cela sur les données de 775 incidents de cybersécurité liés à un rançongiciel. Et pour Beazley, c’est une véritable explosion : en 2018 et 2017, il n’avait enregistré qu’une progression de 20 % et 9 %, respectivement, pour ce type de cyberattaque. Et pour ne rien gâcher, « les sommes demandées par les cyberdélinquants ont également augmenté de manière exponentielle, les demandes à sept ou huit chiffres n’étant pas inhabituelles ».

Mais cette tendance à la hausse des demandes de rançon n’est pas spécifique à l’année passée. Pour Katherine Keefe, responsable des services Beazley Breach Response (BBR) Services, « les opérations de ces délinquants sont couronnées de succès et ils se sont enhardis ». Et de souligner qu’ils « s’intéressent également à des éléments tels que la taille de l’organisation et la manière dont ils se présentent sur leur propre site web. En général, plus l’organisation est grande, plus la demande est élevée ». De fait, il n’est pas rare d’observer des demandes de rançon faisant le grand écart : de l’ordre de la dizaine de milliers de dollars pour de petites structures, jusqu’à plus d’une dizaine de millions de dollars pour de grandes organisations.  

Le rapport de Beazley ne précise pas combien de clients ont choisi de céder au chantage, car l’éditeur ne divulgue pas cette information. Mais lorsqu’un client choisit de payer, c’est avec Coveware que Beazley travaille. Début mai, ce dernier relevait un montant moyen par incident de 111 605 $ au premier trimestre 2020, soit 33 % de plus qu’au dernier trimestre 2019.

Dans un billet de blog, le consultant attribuait cette progression au fait que « les distributeurs de rançongiciels ont de plus en plus visé les grandes entreprises et ont réussi à les forcer à payer des rançons pour recouvrer leurs données ». Si le constat est porteur d’indicateurs peu rassurants quant à la posture de sécurité de ces grandes entreprises, Coveware assurait que « les grands paiements de rançon constituent une minorité en volume ». Mais ceux-ci ont donc significativement tiré la moyenne vers le haut.

S’appuyant sur le nombre de soumissions d’échantillons depuis le service d’identification de rançongiciels ID Ransomware, Emsisoft estimait quant à lui, début février, que ces maliciels ont coûté un peu plus de 485 M$ en France en 2019 – pour les seules rançons. Depuis l’Hexagone, l’an dernier, plus de 8 700 échantillons ont été déposés à des fins d’identification. En tenant compte de l’interruption de l’activité, Emsisoft aboutissait à une estimation du coût de ces attaques pour les organisations françaises, de près de 3,3 Md $. 

« Les pertes étaient presque trois fois plus importantes pour les entreprises ayant subi une attaque via un ransomware, par rapport à celle ayant subi un [simple] malware. »

De son côté, Hiscox, dans son récent rapport annuel sur la gestion des cyber risques, indique que 18 % des entreprises françaises ayant été ainsi attaquées ont versé une rançon. Sur l’ensemble de l’échantillon considéré, au-delà de la seule France, donc, « les pertes étaient presque trois fois plus importantes pour les entreprises ayant subi une attaque via un ransomware, par rapport à celle ayant subi un [simple] malware », soit 821 000 € contre 436 000 €… et cela que la rançon ait été payée ou non. Mais en France, 19 % des victimes de ransomware assurent avoir pu récupérer leurs données « sans devoir payer une rançon ». Ce qui laisse toutefois entrevoir la possibilité que les autres aient plié face à leurs agresseurs.

En fait, lorsqu’Hiscox parle de maliciel, il couvre aussi ceux qui peuvent servir à déployer un rançongiciel. Ainsi, pour l’assureur, « les chiffres montrent l’importance d’une détection avant que le malware ne devienne ransomware ». Et de souligner que, souvent, les attaques se déroulent en plusieurs phases, laissant du temps à la détection. SentinelOne a ainsi observé une attaque impliquant TrickBot avant le déploiement du rançongiciel Ryuk : entre les deux, deux semaines se sont écoulées. Pour Hiscox, c’est bien simple : « les sociétés disposant de bonnes capacités de détection peuvent stopper une attaque pendant ce laps de temps et subir ainsi des désagréments moins durables, avec un coût global plus faible et un impact moindre sur les affaires ».