Ransomware. 90% des entreprises touchées paient une rançon aux cybercriminels
Une étude commanditée par Cohesity, spécialisée dans la gestion et de la sécurisation des données augmentée par l’intelligence artificielle, révèle que l’omniprésence des cyberattaques obligerait la majorité des entreprises à payer des rançons suite à une attaque par ransomware, enfreignant leur propre politique de « non-paiement ».
Ce phénomène serait accentué par des lacunes récurrentes en matière de restauration des données. L’étude menée auprès de plus de 900 décideurs IT et sécurité montre que les entreprises ne se posent plus la question de savoir « si », mais « quand » elles se feront attaquer.
Elle révèle également que la plupart des entreprises ont payé une rançon au cours des deux dernières années, et qu’une majorité s’attend à ce que la menace cyber augmente considérablement en 2024.
8 entreprises sur 10 victimes d’une attaque par ransomware entre juin et décembre 2023
Fait alarmant, près de 8 répondants sur 10 (79 %) ont déclaré que leur entreprise avait été victime d’une attaque par ransomware entre juin et décembre. Le paysage de la menace cyber devrait encore s’aggraver en 2024, 96 % des personnes interrogées affirmant que la menace des cyberattaques pour leur secteur d’activité augmentera cette année, et plus de 7 sur 10 prévoyant une augmentation de plus de 50 %.
La surface d’attaque d’une organisation est définie par la taille, la complexité et la portée de ses environnements de gestion des données. 78 % des répondants ont déclaré que les risques liés à la sécurité des données ont augmenté plus rapidement que la croissance des données elles-mêmes.
Les personnes interrogées estiment également que leurs stratégies de cyber-résilience et de sécurité des données ne sont plus adaptées au paysage actuel des menaces, 21 % seulement ayant pleinement confiance dans la stratégie de cyber-résilience de leur entreprise et dans sa capacité à « faire face à l’évolution des défis liés aux menaces cyber ».
Les raisons du paiement d’une rançon aux cybercriminels
La cyber-résilience est devenue l’épine dorsale de la continuité des activités. Elle définit la capacité des entreprises à restaurer leurs données et à rétablir leurs processus opérationnels lorsqu’elles sont victimes d’une cyberattaque ou d’un incident.
L’étude souligne l’ampleur des défis en matière de cyber-résilience :
- tous les répondants de l’étude ont déclaré avoir besoin de plus de 24 heures pour restaurer leurs données et rétablir leurs processus métier ;
- seulement 7 % ont déclaré que leur entreprise pouvait restaurer les données et rétablir les processus opérationnels dans un délai de 1 à 3 jours ;
- 35 % ont déclaré pouvoir restaurer en 4 à 6 jours ;
- 34 % ont besoin de 1 à 2 semaines pour le faire ;
- de manière alarmante, près d’une entreprise sur quatre (23 %) a besoin de plus de 3 semaines pour restaurer ses données et rétablir ses processus métier.
Preuve supplémentaire des lacunes en matière de cyber-résilience, à peine 12 % ont déclaré que leur entreprise avait procédé à des tests de résistance de leurs processus ou solutions de sécurité, de gestion et de restauration des données au cours des six mois précédant l’enquête, et 46 % n’ont pas testé leurs processus ou solutions depuis plus de 12 mois.
À la lumière de ce constat, il apparaît finalement peu surprenant que 94 % des répondants déclarent que leur entreprise paierait une rançon pour restaurer les données et rétablir les processus opérationnels en cas d’attaque réussie ; 5 % ont répondu « peut-être, en fonction du montant de la rançon ».
Plus de 2 répondants sur 3 (67 %) ont déclaré que leur entreprise serait prête à payer plus de 3 millions de dollars de rançon pour restaurer leurs données et récupérer leurs processus opérationnels, et 35 % plus de 5 millions de dollars.
L’étude souligne par ailleurs un paradoxe important : 9 répondants sur 10 ont déclaré que leur entreprise avait payé une rançon au cours des deux années précédentes, alors que 84 % d’entre elles avaient mis en place une politique de « non-paiement ».
Paiements de la rançon, quelles conséquences ?
« Les organisations ne peuvent pas contrôler l’augmentation du volume, de la fréquence ou de la sophistication des cyberattaques telles que les ransomwares. Ce qu’elles peuvent contrôler, c’est leur cyber-résilience, c’est-à-dire leur capacité à réagir rapidement et à se remettre d’une cyberattaque ou d’une panne informatique, en adoptant des capacités avancées de sécurisation des données » déclare Brian Spanswick, RSSI et directeur de l’IT chez Cohesity.
« Il n’est pas surprenant que la majorité des entreprises aient été touchées par des cyberattaques telles que les ransomwares. Ce qui est alarmant, c’est que 90 % d’entre elles ont payé une rançon, enfreignant ainsi leur propre politique de non-paiement de rançon, et que la plupart sont prêtes à payer jusqu’à 3 millions de dollars de rançon parce qu’elles ne peuvent pas récupérer leurs données, ou ne peuvent pas le faire assez rapidement » précise-t-il.
La dernière chose dont les entreprises ont besoin après avoir fait face à de telles attaques, est la perspective d’une lourde amende pour avoir enfreint le cadre légal imposé par les autorités de marché et les politiques locales.
Une direction générale nécessaire sur les risques liés à la sécurité des données
L’étude révèle deux axes d’amélioration possibles : la sensibilisation et la responsabilisation des dirigeants en matière de sécurité des données, puisque seulement 35 % des répondants déclarent que leurs supérieurs et dirigeants comprennent parfaitement « la gravité des risques et les défis quotidiens liés à la protection, à la sécurisation, à la gestion, à la sauvegarde et à la restauration des données ».
Quatre répondants sur cinq ont déclaré que la direction générale et les conseils d’administration devraient partager la responsabilité de la stratégie de sécurité des données de leur entreprise. Tandis que 67 % ont déclaré que le DSI et le RSSI de leur entreprise pourraient être mieux alignés.
Les plus grandes inquiétudes concernant les conséquences d’une violation de données ou d’une cyberattaque réussie sont, par ordre d’importance :
- une atteinte à la réputation de la marque (34 %) ;
- une baisse du cours de l’action, des investissements ou de la rentabilité (31 %) ;
- un impact direct sur le chiffre d’affaires (30 %) ;
- et une perte de confiance de la part des parties prenantes (30 %).
À la question de savoir qui est le plus touché par une violation de données ou une cyberattaque, les personnes interrogées ont répondu que les plus touchés étaient :
- les clients existants (29 %) ;
- l’équipe de sécurité (29 %) ;
- l’équipe informatique (28 %) ;
- les employés (28 %) ;
- leurs partenaires tiers (27 %).
« La cyber-résilience et la sécurité des données devraient être une priorité organisationnelle holistique, car chaque fonction et chaque employé utilise les données et les systèmes d’information. Une cyberattaque ou une violation de données réussie peut avoir de graves conséquences sur la continuité d’activité, le chiffre d’affaires, la réputation et la confiance » déclare Sanjay Poonen, PDG de Cohesity.
« Pour répondre rapidement aux cyberattaques, les organisations ont besoin de solutions de sécurité et de gestion des données alimentées par l’intelligence artificielle, qui protègent leurs données, détectent lorsqu’elles sont attaquées et les restaurent le plus rapidement possible pour rétablir leurs processus opérationnels » conclut l’intéressé.
Une réglementation pas suffisamment incitative
Malgré les efforts constants des gouvernements et des institutions publiques pour encourager les meilleures pratiques en matière de cybersécurité et de gestion des données, seulement 46 % des personnes interrogées déclarent que les réglementations stimulent les initiatives de leur entreprise en matière de sécurité, de gestion ou de restauration des données.
Les plus lus…
Que prévoit la réglementation en termes de levée de doute sur un site recevant des travailleurs ? …
La réglementation du code du travail impose-t-elle la mise en place d’un panneau de signalisation pour indiquer le point…
Le Bureau d'enquêtes sur les accidents de transport terrestre (BEA-TT) a rendu son rapport, le mercredi 30 octobre 2024,…
À l’occasion de son 8e baromètre de la gestion des risques des PME et ETI françaises, QBE a interrogé…
La 130e édition du Congrès national des Sapeurs-pompiers de France a été l’occasion de présenter quelques nouveautés technologiques. Siemens…
Après avoir passé un mois à l'ancre au large des côtes anglaises en raison d’avaries, le navire vraquier Ruby…