Au-delà de la rançon : Analyse des coûts d'une attaque par ransomware

Les ransomwares sont devenus une menace importante dans le contexte digital actuel, les cybercriminels les utilisant comme un moyen efficace de gagner de l’argent, souvent avec un coût faible et une marge de profit élevée. Les victimes récupèrent rarement l’intégralité des données volées, malgré les promesses des auteurs, de sorte que la plupart du temps, le paiement de la rançon n’est pas une solution fiable. La menace des attaques de ransomware est devenue une préoccupation croissante pour de nombreuses organisations, ayant évoluée vers des stratégies sophistiquées comme la combinaison du chiffrement avec d’autres tactiques pour augmenter la pression sur les victimes afin qu’elles paient une rançon. Parmi les variantes les plus connues, citons Conti, Clop et LockBit. Les attaques par double extorsion se sont généralisées, impliquant des processus d’infiltration du réseau de la victime, d’exfiltration de données sensibles, de suppression des sauvegardes et de chiffrement des données, le tout avant d’exiger une rançon de la victime.

La triple méthode d’extorsion est apparue depuis, apportant encore plus de sophistication au processus, et consistant à lancer des attaques DDoS contre l’infrastructure critique de la victime pour obtenir une rançon. Avec le développement du modèle RaaS (Ransomware-as-a Service), qui permet à n’importe qui d’exécuter une attaque par ransomware, quelles que soient ses compétences, les attaques par ransomware devraient devenir plus avancées et plus difficiles à prévenir. Dans ce contexte, la protection contre ces attaques malveillantes est devenue une priorité urgente pour les organisations comme pour les particuliers. Il est donc important de rester vigilant et de mettre en œuvre des mesures de sécurité solides pour réduire le risque d’être victime d’une attaque par ransomware.

Dans ce blog, nous allons examiner de plus près les implications financières des ransomwares, les facteurs cachés qui influencent leur impact économique, et explorer brièvement la voie à suivre pour garder les systèmes informatiques sécurisés.

 Composantes du coût 

Le coût total d’une attaque par ransomware peut être divisé en deux catégories :

  • Les coûts tangibles (directs et indirects)

  • Intangible

Coûts tangibles directs : Les coûts directs sont le premier niveau de dépenses qu’une organisation doit engager pour faire face à une attaque détectée. Il s’agit notamment des coûts liés aux activités d’enquête, à l’indemnisation des clients touchés, aux frais de justice, aux pénalités, etc.

Coûts tangibles indirects : Les coûts indirects peuvent être considérés comme le deuxième niveau de dépenses qui ont un impact indirect sur les dépenses d’une organisation. Ces dépenses sont directement proportionnelles aux efforts déployés et aux ressources utilisées par une organisation. Par exemple, le renouvellement des comptes, la communication sur l’état de la situation, les pertes dues à l’indisponibilité du système, etc.

Coûts immatériels : Les coûts immatériels concernent à juste titre les coûts qui ne peuvent être quantifiés avec précision, mais qui résultent de la perte d’opportunités commerciales et de l’atteinte à la réputation. Ces coûts peuvent inclure la perte de clients potentiels, la dépréciation des bénéfices futurs, etc.

 Facteurs ayant une incidence sur les pertes financières 

Les coûts d’une attaque par ransomware peuvent être considérables, non seulement en termes de paiement de la rançon, mais aussi en termes de temps d’arrêt, d’atteinte à la réputation, de frais juridiques et d’autres facteurs. Il est essentiel que les organisations comprennent les différents coûts financiers qui peuvent résulter d’une attaque par ransomware pour être en mesure d’évaluer et d’atténuer les risques associés à ces types de cyberattaques. 

 Paiement de la rançon 

Le paiement de la rançon est le coût le plus direct et le plus évident associé à une attaque de ransomware. Il s’agit de la somme d’argent demandée par les attaquants en échange de la clé de décryptage nécessaire pour déverrouiller les données ou les systèmes cryptés. Ce paiement est généralement effectué en crypto-monnaie, ce qui est difficile à tracer, et le montant exigé par les attaquants peut varier considérablement. Toutefois, le paiement de la rançon n’est pas toujours le facteur le plus important dans le coût global d’une attaque par ransomware. Cybersecurity Ventures prévoit que le coût des dommages causés par la cybercriminalité augmentera de 15 % par an au cours des trois prochaines années, pour atteindre 10,5 billions de dollars américains par an d’ici à 2025.

Les experts déconseillent le paiement de la rançon, qui non seulement soutient l’industrie cybercriminelle, mais ne garantit pas non plus la restauration complète des données ou des systèmes. En fait, de nombreux exemples montrent que le paiement d’une rançon peut entraîner une demande de rançon plus élevée. Il convient également de noter que le paiement d’une rançon est illégal dans la plupart des cas, selon l’Office of Foreign Assets Control (OFAC) du département du Trésor des États-Unis. 

 Temps d’arrêt

Les attaques de ransomware peuvent entraîner des temps d’arrêt importants pour les organisations, ce qui se traduit par une baisse de la productivité et des interruptions dans les activités de l’entreprise. En moyenne, les organisations subissent près de trois semaines de temps d’arrêt lorsqu’elles sont ciblées par un ransomware. Se remettre d’une attaque de ransomware peut prendre beaucoup de temps, même pour les grandes organisations disposant de ressources importantes. Les organisations sont confrontées à des difficultés pour accéder à leurs données et pour enquêter sur les causes de l’attaque. Les efforts de récupération peuvent être désordonnés et douloureux, et de nombreuses organisations effectuent les récupérations manuellement, ce qui ajoute aux difficultés. Les coûts indirects d’une attaque par ransomware, tels que les coûts d’interruption des activités, sont souvent plus élevés que les coûts directs.

Les temps d’arrêt provoqués par un ransomware peuvent être extrêmement perturbants et affecter non seulement les entreprises, mais aussi des services essentiels tels que les hôpitaux et les écoles. Même si les organisations peuvent restaurer leurs données à partir de sauvegardes et éviter de payer la rançon, elles doivent faire face à d’importantes pertes d’exploitation en raison du temps d’arrêt. Bien que les gouvernements et les experts en sécurité découragent le paiement de rançons, de nombreuses organisations finissent par payer parce que le temps d’arrêt résultant d’une attaque par ransomware peut entraîner d’énormes pertes de productivité et des interruptions de services.

 Frais juridiques

Les attaques de ransomware peuvent entraîner des frais juridiques coûteux pour les entreprises. La perte de données sensibles peut entraîner des poursuites judiciaires de la part de clients ou de régulateurs, en particulier s’il y a eu violation d’accords de niveau de service (SLA) ou d’exigences réglementaires telles que l’HIPAA. Cela peut se traduire par des amendes et des règlements, comme on l’a vu dans de nombreuses affaires très médiatisées telles que l’attaque par ransomware de Colonial Pipeline. Outre l’indemnisation directe, les clients peuvent également intenter une action en dommages et intérêts en raison du risque accru de vol d’identité ou de fraude à la carte de crédit résultant d’une attaque.

Les entreprises du secteur aval peuvent également intenter une action en justice pour la perte de continuité des activités, les coûts d’intervention en cas d’incident et les frais de récupération résultant de l’attaque par ransomware. Le coût de ces poursuites peut être substantiel et conduire à des batailles juridiques coûteuses, à des règlements ou à des amendes. En outre, les entreprises qui ne parviennent pas à prévenir les violations de données peuvent se voir infliger de lourdes sanctions par les autorités. Les violations de la vie privée, la négligence, les interruptions de service et les pertes d’activité peuvent également donner lieu à des poursuites judiciaires, des amendes et des règlements coûteux. 

 Coûts de réputation

Les attaques par ransomware peuvent être très destructrices et visibles, ne laissant pas d’autre choix aux victimes que de faire savoir au public qu’elles ont été victimes d’une intrusion. Cet aveu public peut souvent susciter l’indignation et la désapprobation des clients, des investisseurs et d’autres parties prenantes. Si les données peuvent être restaurées, il n’est pas toujours facile de rétablir la confiance du public. Cela peut avoir des conséquences négatives sur la fidélisation des clients existants, sur le développement des activités futures et même sur le cours de l’action de l’entreprise.

Forbes Insights a constaté que 46 % des organisations ont subi des dommages à leur réputation et à la valeur de leur marque à la suite d’atteintes à la cybersécurité. Une attaque par ransomware peut nuire à la marque et à la réputation d’une entreprise, rendant difficile l’attraction de nouveaux clients et partenaires commerciaux. Les recherches menées par la National Cyber Security Alliance indiquent que 60 % des petites et moyennes entreprises (PME) cessent leurs activités dans les six mois qui suivent une violation de données ou une cyberattaque. 86 % des victimes du secteur privé ont déclaré avoir perdu des activités et/ou des revenus à la suite de l’attaque. Les conséquences d’une attaque par ransomware peuvent donc être graves et durables, affectant la réputation d’une entreprise, son potentiel de croissance et sa simple survie.

Frais de recouvrement

Pour prendre en compte l’intégralité des coûts associés aux attaques de ransomware, il est nécessaire d’inclure les coûts de prévention des incidents futurs, en plus des dépenses liées à la réponse à une attaque. Pour garantir la préparation et la réponse aux incidents, les organisations doivent inclure les coûts d’infrastructure qui réduisent le risque d’une attaque par ransomware, les coûts de sauvegarde et de main-d’œuvre, ainsi que les primes d’assurance pour la cybersécurité. Il est essentiel de ne pas sous-estimer les dépenses liées à la sécurisation du réseau contre de futures attaques. Même si le paiement d’une rançon entraîne la libération des machines infectées, rien ne garantit que les attaquants ne conserveront pas l’accès à l’entreprise.

Une fois la rançon payée, rien ne garantit que les attaquants désinfecteront les machines, supprimeront les données volées ou renonceront à leur accès au réseau de la victime. Il est toujours possible que les attaquants implantent d’autres logiciels malveillants sur les systèmes ou qu’ils vendent ou transfèrent leur accès illicite à un autre groupe criminel. Pour prévenir d’autres attaques, les organisations doivent moderniser leur infrastructure et mettre en place de meilleurs contrôles. Les coûts de réponse aux incidents et de mise à niveau informatique nécessaires pour sécuriser le réseau contre de nouvelles attaques sont souvent des coûts cachés que les victimes ne prennent pas en compte.

 Pour conclure 

Comme il s’agit de la catégorie de cybercriminalité qui connaît la croissance la plus rapide, il est essentiel de prendre des mesures préventives en gardant les systèmes à jour, en mettant en œuvre des politiques de mots de passe forts et en éduquant les employés à des pratiques de navigation sûres. Si la plupart des organisations sont préoccupées par les ransomwares, elles n’ont pas toujours les ressources nécessaires pour se tenir au courant des dernières menaces. Par conséquent, le fait d’être proactif et d’avoir un plan en place peut aider à réduire l’impact d’une attaque de ransomware. Une sécurité et une protection adéquates des données peuvent prévenir les attaques et aider à récupérer rapidement afin d’éviter les coûts élevés qui accompagnent toute attaque de ransomware. Commencez dès aujourd’hui – soyez proactif en identifiant et en répondant rapidement aux attaques de ransomware, en minimisant les dommages et en réduisant les coûts de récupération.

Source : Beyond the ransom: Unpacking the true cost of a ransomware attack by Nandha Palani Dorai