Getty Images

Ransomware : qui paie, combien et pourquoi ?

Moins d’un tiers des victimes de cyberattaque avec rançongiciel céderait au chantage et accepterait de payer les agresseurs. Mais les organisations couvertes par leur assurance seraient tentées de payer plus que les autres.

Le chercheur Tom Meurs, de l’université de Twente aux Pays-Bas, et ses collègues, se sont penchés sur les données de plus de 480 cyberattaques avec ransomware, de 2019 à 2022, obtenues auprès des forces de l’ordre néerlandaises et d’un spécialiste local de la réponse à incident. 

Les enseignements ne manquent pas. Tout d’abord, les données confortent les observations suggérant une importante progression de la menace en 2021 par rapport à 2019 et 2020, avant un léger repli en 2022. Les données de cybermalveillance.gouv.fr pour 2023 suggèrent ainsi un léger recul en 2022, suivi d’un retour, l’an dernier, au niveau de 2021. 

Certaines victimes paient, mais dans des proportions cohérentes avec celles suggérées précédemment par d’autres observations : de l’ordre de 28 %, selon les chercheurs. Mais cette proportion a connu un pic en 2020 à 35 %, avant de se stabiliser autour de la moyenne, en 2021 et 2022. 

Le montant concédé moyen s’établit à 431 000 euros, avec un montant médian à 35 000 euros. En moyenne, les organisations couvertes par une assurance cyber paient plus que les autres : plus de 700 000 de rançon moyenne payée pour celles-ci, contre 133 000 pour les autres. 

Qui plus est, 44 % des victimes assurées ont cédé au chantage, contre 24 % de celles qui ne l’étaient pas. Mais est-ce le seul facteur ? Pas nécessairement. 

Ainsi, le vol de données semble plutôt efficace : 40 % des victimes concernées ont payé une rançon, contre 25 % pour celles dont les données n’ont été que chiffrées. 

La capacité à restaurer les données joue également, sans trop de surprise : 58 % des victimes avec sauvegardes non exploitables ont payé, contre 28 % pour celles disposant de sauvegardes utilisables en partie, et 11 % pour celles dont les backups étaient pleinement exploitables. Toutefois, 73 % des victimes ne disposant pas de sauvegardes n’ont pas cédé au chantage. 

C’est dans les secteurs de la santé et des transports que les victimes semblent le plus enclines à verser une rançon, avec 32,1 % et 33,3 % des victimes respectivement. Le secteur public cède aussi, mais peu : 8 %. Vient ensuite l’agriculture à 15,4 %. 

Pour approfondir sur Menaces, Ransomwares, DDoS