Ransomware : combien paient ? Probablement pas 65 % des victimes en France
Un sondage conduit par Hiscox laisse à penser que 65 % des victimes en France versent la rançon demandée par les cybercriminels. Un chiffre qui paraît très élevé. Probablement trop pour être exact.
Mi-avril, Hiscox dévoilait l’édition 2021 de son étude sur la préparation cyber des entreprises. Et cela n’a pas manqué d’attirer l’attention, avec en particulier un chiffre choc largement repris. Il faut dire qu’il a de quoi marquer les esprits : 65 % des organisations frappées par ransomware, en France, paieraient la rançon.
L’allégation avait d’autant plus de chance de faire mouche qu’elle venait d’un assureur spécialisé dans la cybersécurité. Mais surtout, le contexte était parfait pour cela. Quelques jours plus tôt, Johanna Brousse, vice-procureure chargée de la section cybercriminalité du parquet de Paris, l’assurait : « la France est aujourd’hui l’un des pays les plus attaqués en matière de rançongiciels […] parce que nous payons trop facilement les rançons ». Elle s’en prenait au passage aux assureurs qui, selon elle, « garantissent le paiement des rançons ».
Le sujet n’est pas nouveau et n’a jamais rien eu de consensuel dans l’Hexagone. Certains experts ont d’ailleurs requis l’anonymat pour nous expliquer comment la rançon pouvait être payée… sans que cela soit explicite. Et sans que l’assureur ait à l’assumer ouvertement. Mais tant d’organisations victimes de rançongiciel paient-elles ? Pas sûr.
D’une part, le regard de Johanna Brousse est susceptible d’être biaisé du fait l’échantillon qu’elle est susceptible d’étudier. L’étendue et la précision de la visibilité sur le phénomène des ransomwares sont un sujet récurrent. C’était d’ailleurs l’un des objectifs originels de la plateforme cybermalveillance.gouv.fr, portée par le GIP Acyma : gagner en visibilité. Lors de l’annonce de la plateforme, Guillaume Poupard, directeur général de l’Agence nationale de la sécurité des systèmes d’information (Anssi), l’expliquait lui-même : « il faut être capable d’assurer le risque résiduel. Mais sans éléments quantitatifs, les assurances ont du mal à proposer des offres qui soient viables ».
Une visibilité toujours incomplète
Du côté du parquet de Paris, il est difficile d’imaginer que la vision soit plus complète. Le jour où la grande majorité des victimes portera plainte apparaît encore bien loin. Et l’on imagine que celles qui portent plainte y sont majoritairement contraintes par leur assureur pour que le sinistre soit pris en charge. Mais selon Hiscox, il ne faut pas même compter sur un tiers des entreprises françaises assurées contre le risque cyber. Et encore, ce sont surtout les plus grandes et les plus matures. Ce qui ne signifie pas qu’elles ne paient pas, soit dit en passant. Avec ou sans l’aide de leur assureur.
Il faut dire que beaucoup semblent peiner à jouer la transparence, traitant encore toute cyberattaque comme une maladie honteuse. Un récent sondage OpinionWay pour le Cesin l’avait bien montré : 19 % des 228 répondants indiquaient avoir été victimes de rançongiciel en 2020. Sur 43 entreprises, donc, seules 11 ont été identifiées.
Mais peut-être l’échantillon d’Hiscox est-il lui-même teinté d’un biais. Son étude s’appuie sur un « panel élargi de 6 042 entreprises dans huit pays : États-Unis, Royaume-Uni, Belgique, France, Allemagne, Espagne, Espagne, Pays-Bas, et Irlande ». Sur l’ensemble du panel, 58 % des entreprises auraient payé une rançon.
Selon Coveware, depuis le troisième trimestre 2020, les entreprises sont moins enclines à céder à l’extorsion : « les victimes d’extorsion avec exfiltration de données ont très peu à gagner en payant les cybercriminels, et malgré une inflation des demandes, et la prévalence croissante du vol de données, nous trouvons encourageant qu’un nombre croissant de victimes ne paient pas ».
Trop, c’est trop
Sophos présente des chiffres beaucoup plus conservateurs que ceux d’Hiscox. Selon l’éditeur, 26 % des organisations affectées ont payé, l’an dernier, pour récupérer leurs données. Mais cette proportion est remontée à 32 % au premier trimestre 2021.
Ces données sont en tout cas cohérentes avec celles que nous avons établies en suivant les revendications de plusieurs groupes. À partir de celles de Babuk, de NetWalker, de Darkside ou encore de Revil, avec Sodinokibi, nous estimions, fin janvier, qu’entre un quart et un tiers des victimes avaient payé. En novembre 2020, un sondage VansonBourne pour CrowdStrike concluait que 27 % des victimes avaient payé.
La récente tendance à l’inflation exubérante des opérations de Revil ne semble d’ailleurs pas particulièrement… payante. Les membres de ce groupe ont, selon nos observations, essuyé de nombreuses déconvenues depuis la fin mars. Sur un forum notamment fréquenté par les cybercriminels russophones, cela a d’ailleurs valu une sévère critique à Revil : « les exigences de rançon sont trop élevées. Vous avez besoin de quelqu’un d’intelligent qui va déterminer le montant maximum que les victimes peuvent payer ».