Quels sont les coûts réels d'un ransomware ?

La fréquence et l'ampleur des attaques par rançongiciels augmentent. En 2019, les experts estimaient qu'une entreprise serait victime d'un ransomware toutes les 14 secondes. D'ici 2021, cet intervalle se réduira à 11 secondes et le coût des dommages causés par ces attaques devrait atteindre plus de 17 milliards d'euros.

1. Coûts directs : l'argent de la rançon

Bien sûr, le montant de la rançon est la 1ère chose à laquelle nous pensons et fait souvent la une des journaux mais ce n’est qu’une des composantes - et pas nécessairement la plus importante - du coût global d’un logiciel malveillant.

Au troisième trimestre 2019, le montant moyen des rançons a augmenté de 13 % pour atteindre 38 000 euros (contre 33 500 euros au deuxième trimestre). Le ransomware Ryuk est en grande partie responsable de cette augmentation massive. Ces opérateurs de ransomeware ont exigé 265 000 euros en moyenne pour déverrouiller les systèmes informatiques, contre 9.000 euros environ pour les autres organisations criminelles.

2. Coûts indirects : interruption forcée de l’activité

Les coûts indirects d’une attaque - générés par une interruption de l’activité- sont 5 à 10 fois plus élevés que les coûts directs. Il est souvent difficile de calculer avec précision le coût réel d’un arrêt d’activité, car il peut avoir un impact différent selon les entreprises.

En effet, si le coût total médian d'une attaque par ransomware était de 175.000 euros en France - soit le deuxième montant le plus élevé pour les entreprises, juste derrière les Etats-Unis à 183.000 euros -  cette somme va bien au-delà de la seule rançon. Elle inclue les temps d'arrêt, la main d’œuvre, le coût au niveau des équipements, le coût au niveau du réseau et les opportunités perdues. 8 % des entreprises françaises ont déclaré entre 1 et 5,3 millions d’euros de coût global !

Aux Etats-Unis, un incident lié à ce type d’attaque dure désormais en moyenne 16,2 jours, contre 12,1 au troisième trimestre 2019[1]. Par ailleurs, les attaques contre les établissements de soins de santé ont également augmenté à un rythme alarmant en 2019 et il y a eu une recrudescence de ransomwares contre les entités gouvernementales, les villes et les municipalités. Pas moins de 174 villes et 3 000 administrations municipales ont été ciblées par une attaque (plus 60% par rapport à 2018) l’année dernière.

3. Coûts indirects : perte de réputation

Les ransomwares d'aujourd'hui ne sont pas différents des cyberattaques rusées du passé. A la fois, très destructeurs et visibles, ils ne laissent pas d’autres choix aux victimes que de les rendre publics.

Un tel aveu peut souvent entraîner un tollé et la protestation des clients, des investisseurs et autres parties prenantes. Si dans de nombreux cas, les données peuvent être récupérées relativement rapidement, il est plus difficile de regagner la confiance des clients, surtout lorsque la révélation de l’attaque n'a pas été faite dans les temps, ni de manière transparente. Cela peut avoir des conséquences négatives sur la fidélisation des clients existants, sur l'acquisition de futurs clients mais également sur la valeur boursière d'une entreprise.

4. Coûts indirects : dommages collatéraux

Comme pour tout type de cyberattaque, les victimes doivent être préparées à une série de conséquences possibles, y compris des dommages qui ne proviennent pas directement de l'attaque elle-même. Brian Krebs, journaliste américain spécialisé en cybersécurité, affirme que dans une entreprise initialement infectée par Ryuk, les cartes d'identité des employés de l'entreprise ont été volées puis utilisées pour toutes sortes d'activités malveillantes, en partie grâce à l'utilisation d'un ransomware reconnu appelé Emotet.

5. Coûts indirects : perte de données

Malheureusement, le paiement de la rançon ne garantit pas toujours la récupération, en toute sécurité, des données cryptées. Récemment, il a été découvert que le mécanisme utilisé par Ryuk était défectueux. Et bien que la demande de rançon ait été payée, il a rendu la récupération de certains types de fichiers incomplète et conduit à la perte de données.

Parfois, certains pirates s'enfuient même avec la rançon sans même prendre la peine d’envoyer aux victimes les clés de décryptage. Le coût est alors considérable et les données, perdues à jamais.

Le ransomware est l’une des menaces les plus dangereuses qui pèsent sur les entreprises. Si un logiciel malveillant parvient à s’installer sur leur réseau, tous les fichiers, y compris les données de sauvegardes, peuvent être infectés. Les dégâts financiers peuvent alors s’avérer catastrophiques. Pour évaluer le risque potentiel émanant de ce type d’attaques, les entreprises doivent donc prendre en considération tous les coûts, qu’ils soient directs ou indirects : la rançon à payer, l’arrêt de l’activité, l'atteinte à la réputation, la perte de données, etc. Une fois tous ces éléments pris en compte, il leur est conseillé de s’équiper d’une solution de confiance pour une protection optimale de leurs endpoints et de la compléter par des systèmes de sauvegarde et des procédures visant à stopper les interruptions d’activités. Enfin, afin de réduire encore davantage les risques, elles peuvent également souscrire à une cyber-assurance appropriée.

[1] Source : Rapport Ransomware Marketplace, Covewar,