kaptn - Fotolia
Ransomware : des petites entreprises touchées, mais modestement
Une étude de l’IRT SystemX centrée sur les petites entreprises laisse entrevoir des impacts financiers relativement faibles. Du moins comparativement aux coûts avancés par certaines grandes structures.
Bonne nouvelle, les contaminations par ransomware ne coûtent pas tant que cela aux PME et TPE françaises. C’est d’une moins l’une des conclusions de l’étude réalisée par l’IRT SystemX auprès d’une soixantaine d’organisations de moins de 50 personnes essentiellement, dans l’Hexagone, entre 2016 et 2017 : « le nombre de cyberattaques réussies s’avère bien supérieur aux estimations habituellement rendues publiques, tandis que le coût moyen des cyberattaques se révèle en revanche beaucoup plus faible que supposé ».
Les contaminations par rançongiciel tiennent le haut de pavé, avec les fraudes au président et autres faux ordres de virement. Selon l’étude, la probabilité qu’une organisation soit affectée par un ransomware oscillerait ainsi entre 2 et 5 % : « elles ne se situent donc plus dans la catégorie des événements rares ». Les assurances, qui ont multiplié les offres cyber ces dernières années, apprécieront probablement l’arrivée de cette donnée statistique. La Fédération française de l’assurance est d’ailleurs associée à l’événement encadrant la présentation de ces résultats.
Mais le coût moyen d’une contamination par ransomware « s’évalue actuellement en milliers d’euros par attaque réussie », assure l’IRT SystemX, avec une médiane autour du millier d’euros. Et d’estimer qu’un « grand nombre d’attaques réussies trouvent des solutions à faible prix, particulièrement quand les sauvegardes ne sont pas affectées ». Au total, les ransomwares coûteraient toutefois plus de 700 M€ par an aux petites organisations françaises.
Mais attention, il faut bien là-dedans compter avec des paiements de rançons. Selon l’IRT SystemX, le ratio entre sommes versées et préjudice total, pour les organisations étudiées, serait de l’ordre de 1 pour 25. Ce qui ferait tout de même quelques 28 M€. Mais cela ne dit rien de la part d’organisations ayant cédé au chantage – ni, dès lors, du coût d’un tel incident lorsque l’on ne paie pas.
Fin 2016, Trend Micro avait avancé un chiffre : près de la moitié des DSI affectées payaient la rançon. Et cela parce que, dans 40 % des cas, le montant demandé s’avérait « suffisamment bas pour être absorbé dans les coûts d’exploitation ». Pour près d’un tiers, la motivation était la rapidité avec laquelle retrouver l’accès aux fichiers séquestrés. Au point d’ailleurs qu’il apparaît de plus en plus important d’organiser la protection au-delà des sauvegardes traditionnelles.
Si le paiement de la rançon continue d’être sujet à controverse, pour certains, il doit toutefois être présenté aux dirigeants affectés parmi l’éventail des options à considérer. C’est notamment la position avancée par Flashpoint, qui présente au passage un guide récemment publié par Forrester sur la manière de s’y prendre. Mais assurément pas sans rappeler qu’il ne s’agit en rien d’une solution miracle et qu’il reste encore un gros travail à fournir après avoir cédé.