Ransomware : Les entreprises pourront-elles enfin dire stop aux paiements ?

En 2024, l'écosystème des ransomwares continue de se transformer, avec des cybercriminels qui innovent sans cesse et diversifient leurs méthodes d'attaque.

Alors que les attaques ciblant la Supply Chain attirent souvent l’attention des médias, elles ne représentent qu’une partie des techniques à disposition des groupes criminels modernes. Selon un rapport récent de Deloitte, les groupes de ransomware les plus sophistiqués privilégient de plus en plus les failles de type “zero-day”, avec plus d’un tiers des victimes ciblées par ce mode d’infiltration.

Nous avons également vu l’émergence de nouvelles variantes de ransomware, comme DragonForce, qui durcissent encore le ton avec des tactiques de double extorsion. En exfiltrant des données sensibles et en menaçant de les divulguer si la rançon n’est pas payée, ces groupes mettent une pression maximale sur leurs victimes. En outre, des interrogations subsistent quant aux implications des plateformes d’intelligence artificielle générative et à la manière dont elles pourraient, à long terme, modifier l’équilibre entre les cybercriminels et les professionnels de la cybersécurité.

Dans ce contexte, une question devient centrale : comment réagissent les victimes face à ces attaques ? Plusieurs rapports suggèrent que, malgré l’augmentation du nombre et de la complexité des attaques, un nombre croissant d’entreprises choisissent de ne plus céder aux demandes de rançon.

Bien que les ransomwares aient causé plus de 400 millions de dollars de dommages au cours du premier semestre de cette année, Deloitte souligne une “baisse encourageante des paiements de rançon à l’échelle mondiale”, notamment dans des secteurs critiques comme la santé et les services financiers.

Cette tendance est également confirmée par un rapport de Marsh datant de juin 2024, qui note que seulement 23% de ses clients touchés par des extorsions cybernétiques en 2023 ont choisi de payer la rançon, une baisse significative par rapport aux 37% enregistrés en 2021.

Ces résultats sont clairement encourageants : la prise de conscience quant à la nécessité de renforcer la sécurité n’a cessé de croître, portée par des exigences accrues de la part des régulateurs, des partenaires, des clients et des assureurs, tous réclamant des mesures de cybersécurité plus rigoureuses.

Toutefois, le rapport de Marsh souligne que d’autres facteurs jouent également un rôle. Par exemple, la demande de rançon médiane a explosé, atteignant 20 millions de dollars en 2023, contre seulement 1,4 million en 2022. Cette flambée des montants pourrait en partie expliquer pourquoi de plus en plus d’entreprises choisissent de résister à ces exigences exorbitantes.

La prudence reste de mise en cybersécurité

Pour mieux comprendre les dynamiques autour des paiements de rançons, nous avons réalisé une enquête auprès de près de 1 000 professionnels de l’informatique et de la sécurité dans des organisations internationales de divers secteurs, au cours du premier semestre 2024, et dans de nombreux cas, nos conclusions sont alignées avec celles de Marsh et Deloitte. Par exemple, nous avons constaté que les ransomwares restent omniprésents, 85% des organisations françaises ayant été touchées par des attaques au cours des 12 derniers mois. Cependant, une des différences les plus frappantes dans nos résultats réside dans la prévalence des paiements de rançons.

Contrairement à la baisse observée dans les données de Marsh et Deloitte, notre enquête révèle qu’une majorité significative – 78% – des entreprises touchées par des ransomwares choisissent encore de payer la rançon, et 73% ont même payé plusieurs fois.

Malgré les variations dans les rapports, un fait reste constant : les paiements de rançons sont toujours d’actualité et les demandes continuent d’augmenter.

Adopter des stratégies efficaces et multi-couches contre les ransomwares

Bien que légalement autorisé, le paiement d’une rançon ne devrait jamais être une stratégie sur laquelle les entreprises se reposent : non seulement cela alimente l’industrie criminelle et incite à de futures attaques, mais nos conclusions soulignent également les risques considérables associés.

Les attaques répétées sont fréquentes et il n’y a aucune garantie que le paiement permette de retrouver l’accès aux données et aux systèmes : en fait, 28 % des entreprises françaises ayant payé une rançon n’ont jamais reçu les clés de décryptage ou n’ont pas pu récupérer leurs fichiers et actifs.

De plus, même celles qui récupèrent l’accès subissent souvent des dommages collatéraux à long terme, tels que des pertes financières, une détérioration de leur réputation et une érosion de la confiance de leurs clients et partenaires.

Pour cette raison, les entreprises doivent prioriser le renforcement de leurs défenses et mettre en place des sauvegardes solides, régulièrement mises à jour. Cela leur permettra de combattre efficacement les attaques, d’y répondre et de s’en remettre sans avoir à coopérer avec des cybercriminels. Nous constatons pourtant que trop souvent la récupération des systèmes est négligée, une faiblesse qui peut s’avérer critique.

L’importance d’Active Directory

Au cœur d’une stratégie de récupération complète, Active Directory (AD) doit être une priorité.

AD est le pilier central des  activités de l’entreprise, servant de plateforme d’identité pour la plupart des organisations. Les cybercriminels le savent bien, c’est pourquoi leur principal objectif est souvent de prendre le contrôle de l’AD, et si les attaquants parviennent à le compromettre, ils peuvent accéder à tout ce qui se trouve dans l’entreprise. À l’inverse, si l’AD devient indisponible, cela peut paralyser l’infrastructure et les applications de l’entreprise, interrompant ses fonctions critiques.

Compte tenu des enjeux, les entreprises ont besoin d’un système dédié à la sauvegarde d’Active Directory pour garantir qu’elles peuvent se remettre des attaques avec rapidité et intégrité. 

Cela ne veut pas dire que les entreprises ne priorisent pas la cybersécurité. En réalité, beaucoup ne consacrent simplement pas suffisamment de ressources à la protection adéquate de leurs actifs les plus critiques.

Il est essentiel que les entreprises adoptent une approche équilibrée, en protégeant non seulement leurs points d’accès, mais aussi leur plateforme d’identité, en commençant par Active Directory.