psdesign1 - Fotolia
Ransomware : un fléau qui provoque des dégâts importants
Deux études publiées à l’occasion de la conférence Black Hat qui se déroule actuellement à Las Vegas soulignent l’ampleur d’un fléau qui a pris une toute nouvelle dimension en 2016.
Près d’un quart des PME touchées par un rançongiciel sont forcées d’interrompre leurs activités sur le champ, perdant 15 % de leur chiffre d’affaires. C’est la principale conclusion d’une étude conduite par Oterman Research pour Malwarebytes auprès d’un millier d’entreprises comptant plus de mille employés, entre Allemagne, Amérique du Nord, Australie, France, Royaume-Uni, et Singapour. Pour près d’une organisation sur six touchées, l’indisponibilité dépasse 25 heures. Parfois, ce chiffre s’élève à plus 100 heures.
Les trois quarts des organisations interrogées accordent une priorité haute, voire très haute, à la menace des ransomwares. Mais lutter contre eux est une autre histoire. Plus d’un quart des sondés indiquent qu’ils ne seraient pas capables d’identifier le mode d’infection initial. Et cela apparaît d’autant plus grave que plus d’un tiers des infections se répandent au-delà de la victime initiale.
Un marché florissant
Près des trois quarts des sondés estiment que la rançon demandée ne devrait pas être payée. Pour les autres, il ne faudrait honorer la demande que dans le cas de données critiques. Mais parmi ceux qui se refusent à donner raison aux cyber-délinquants, un tiers perd des données.
Pour autant, Google estime que les ransomwares ont rapporté plus de 25 M$ depuis 2014, après une année 2016 particulièrement fructueuse. C’est Locky qui aurait rapporté le plus, à près de 8 M$, devant Cerber, à un peu moins de 7 M$. Pour l’heure, toutefois, depuis le début de 2017, c’est lui qui domine le « marché ». Et selon Google, seuls 9 % des victimes n’ont pas payé la rançon demandée.
Et l’on pourrait trouver une très bonne raison à cela : les chercheurs du géant du Web estiment que 37 % des utilisateurs ne sauvegardent pas leurs données. Un chiffre toutefois sensiblement plus élevé que celui de Backblaze qui, fin mai dernier, évaluait à plus de 21 % le nombre d’utilisateurs ne procédant jamais à la moindre sauvegarde. De ans plus tôt, il fallait compter avec un quart des sondés, contre 37 % en 2011. En mars 2015, KrollOntrack indiquait quant à lui que 39 % des personnes sondées pour son étude à l’occasion du World Backup Day, n’avait pas de solution de sauvegarde en place au moment où était survenue une perte de données.
Les limites des sauvegardes
Alors oui, certaines organisations ont bien été sauvées par leurs sauvegardes, comme des hôpitaux en ont témoigné en 2016. Mais le fait est que ce n’est pas toujours trivial, malgré les évolutions des approches de protection, en combinant notamment instantanés de sauvegarde et analyse comportementale pour réduire tant la durée de la compromission que les délais de remédiation. Le vrai-faux ransomware NotPetya/ExPeter/Nyetya/EnternalPetya a ainsi récemment mis à rude épreuve les plans de reprise d’activité des entreprises qu’il a touchées.
Il faut dire que souvent, payer n’apparaît pas insupportable. C’est ce que soulignait l’an dernier Sasha Romanosky, de la RAND Corporation. Dans une étude qui n’a pas manqué de faire grincer des dents, il estimait que les coûts induits par les incidents de sécurité apparaissaient « relativement modestes », rapportés à d’autres pertes, comme celles générées par la fraude, la corruption ou encore des dettes toxiques, par exemple, et en conséquence pas assez élevés pour réellement inciter aux investissements.
Une étude de Trend Micro pour la France est venue conforter cette analyse à l’automne dernier. On y apprenait ainsi que près de la moitié des RSI affectés payaient la rançon.
Payer ? Mais pour quel bénéfice…
Dans 40 % des cas, la raison est simple : le montant demandé – 638 € en moyenne – s’avère « suffisamment bas pour être absorbé dans les coûts d’exploitation ». En moyenne, il faudrait d’ailleurs compter 29 heures de travail pour réparer une infection par ransomware. Ce n’est donc pas une surprise si près d’un tiers des sondés se disent prêts à payer une rançon parce qu’ils ont besoin d’accéder rapidement aux fichiers pris en otage.
Accessoirement, l’étude de Trend Micro mettait en question l’efficacité des systèmes de sauvegarde et de restauration – et de leur mise en œuvre : seulement 65 % des entreprises n’ayant pas payé la rançon ont pu « faire face à la menace en limitant les pertes » grâce à une sauvegarde.
Mais s’il le fallait, le récent exemple du malheureux hébergeur coréen Nayana a montré que verser la rançon n’est pas forcément un gage de reprise d’activité rapide. Il a versé environ 1,45 M€ aux auteurs du ransomware Erebus. Pour ne pas réussir à ramener son activité à ses conditions opérationnelles normales en moins de trois semaines.