Rançongiciels : une année 2021 record pour la double-extorsion, selon la CNIL

La Commission Nationale Informatique et Libertés (CNIL) vient de publier son rapport d’activité pour l’année 2021. Celui-ci tend à confirmer la tendance précédemment soulignée par les chiffres de Cybermalveillance.gouv.fr, celle d’une augmentation toujours considérable du nombre de cyberattaques avec ransomware en France, par rapport à 2020.

Dans son rapport, la CNIL fait ainsi état de plus de 2 150 notifications de violation de données personnelles dans le cadre de cyberattaques avec rançongiciel, l’an passé. Dans son rapport pour 2020, la Commission en relevait « plus de 500 ». La progression, d’une année sur l’autre, s’établit alors à plus de 76 %.

À titre de comparaison, Cybermalveillance.gouv.fr avait reçu 1 851 demandes d’assistance pour attaque informatique avec ransomware en 2021, hors particuliers, contre 996 en 2020. Là, il y avait donc eu doublement.

Le nombre de cas connus publiquement en France en 2021 avait lui aussi doublé par rapport à 2020. Les chiffres de la CNIL tendent à suggérer qu’il est raisonnable d’estimer que ce doublement s’approche de la réalité, malgré les difficultés d’observation et de quantification du phénomène. Et cela même s’il apparaît plus que probable que toutes les organisations se tournant vers Cybermalveillance.gouv.fr ne procèdent pas à une notification auprès de la CNIL, et vice-versa.

De fait, toutes les attaques avec rançongiciel ne se valent pas. Certaines n’impliquent pas de compromission en profondeur du système d’information ni de vol de données. La pratique dite de double-extorsion – avec exfiltration de données avant chiffrement des postes de travail et serveurs, puis menace de divulgation de ces données – était encore émergente en 2019.

Mais la pratique a considérablement gagné en adoption. Au premier trimestre 2020, Coveware estimait que la double-extorsion ne représentait que moins de 9 % des cas de cyberattaque avec ransomware. Pour le trimestre suivant, cette estimation était ramenée à 30 %. Pour le dernier trimestre 2021, Coverware estime que la double-extorsion représente 84 % des cas.

L’écart entre les chiffres de Cybermalveillance.gouv.fr et ceux de la CNIL peut alors s’expliquer par le fait que certaines victimes n’ont pas nécessairement besoin des services du portail du GIP Acyma pour trouver le(s) prestataire(s) appropriés pour se faire accompagner dans la gestion de la crise. Il n’y a alors pas de demande d’assistance. Mais s’il y a bien eu violation de données personnelles, il y a – normalement – notification à la CNIL. Et les opérations de cyberextorsion avec rançongiciel, où les cyberdélinquants exhibent des données personnelles, ne manquent pas.