Un rapport signé Cohesity révèle qu’une très large majorité des entreprises françaises continue de payer les rançons en cas d’attaque par ransomware, malgré une politique affichée de non-paiement. Contacté par L'Informaticien, François-Christophe Jean, directeur technique France chez Cohesity, nous en dit plus.
90 % des entreprises déclarent avoir une politique de non-paiement en cas de cyberattaque. Pourtant, 92 % des organisations françaises interrogées et 69 % à l’échelle mondiale auraient versé une rançon à des cybercriminels au cours de l’année écoulée. C’est ce que révèle le rapport 2024 sur la cyber-résilience de l'entreprise technologique spécialisée dans la gestion des données et la cybersécurité, Cohesity, réalisé auprès de 3 100 décideurs IT dans huit pays, dont la France.
Prêtes à payer jusqu’à 23 millions d’euros
Les entreprises concernées sont principalement des institutions financières, des banques et des organisations gouvernementales. « Nous parlons d'acteurs qui ont déjà un certain niveau de maturité en matière de cybersécurité mais qui, malgré leurs investissements, la formation de leurs équipes et la présence de responsables cybersécurité compétents, ont tout de même été contraintes de payer », souligne François-Christophe Jean.
Dans le détail, l’étude révèle que les organisations françaises interrogées ont payé en moyenne 653 000 € de rançon. 9 % admettent avoir déboursé entre 935 390 € et 2 806 004 €. À l’échelle mondiale, 5 % se disent prêtes à verser plus de 9,3 millions d’euros, et jusqu’à 23 millions d’euros pour certaines.
La difficile restauration des données
Qu’est-ce qui pousse les organisations à céder au chantage des cybercriminels ? Sans grande surprise, il s’agit de récupérer au plus vite leurs données pour limiter l’impact de l’attaque sur leur activité. 97 % des décideurs français déclarent que leur entreprise serait prête à payer une rançon pour récupérer des données subtilisées, contre 83 % au niveau mondial. « La majorité estime qu'elle peut payer, car cela resterait moins coûteux que les conséquences d'une interruption d'activité », fait remarquer François-Christophe Jean.
Vraiment ? Cohesity met en garde, car payer la rançon ne garantit pas toujours de récupérer ses données et de redémarrer son activité sans encombre. « Ce qu'on reçoit en échange [du paiement de la rançon], ce sont des clés de déchiffrement, mais ce n'est pas toujours sans perte [de données] ». Ainsi, même avec toutes les clés, le travail laborieux qui s’ensuit pour associer les clés au bon matériel ne permet pas de garantir une restauration complète. D’après les travaux de Cohesity, seules 4 % des organisations ont récupéré l’intégralité de leurs données après avoir versé une rançon. Le rapport avance qu’aucun des décideurs français interrogés ne s’est dit en mesure de restaurer des données et systèmes dans les 24 heures suivant une attaque. 9 % prévoient un délai allant jusqu’à trois jours, et 17 % estiment que la restauration complète prendra entre trois semaines et deux mois. Cela soulève la question de l’efficacité réelle de la cyber-résilience des entreprises.
Jouer le jeu des cybercriminels
Cohesity rappelle en outre que payer, c’est jouer le jeu des cybercriminels, qui, confortés dans leur stratégie payante, intensifient leurs activités frauduleuses. Preuve en est la recrudescence des cyberattaques chez les pays visiblement bons payeurs. En France, 86 % des sondés ont confirmé que leur entreprise a été victime d’une attaque par ransomware en 2024, contre 53 % en 2023. Les entreprises françaises figurent parmi les plus visées, avec 67 % au niveau mondial.
Un autre aspect à considérer est qu’un client satisfait est un client qui revient. Autrement dit, « si une organisation paie, les hackers peuvent se dire qu'elle paiera de nouveau sans hésitation. Il est donc tout à fait possible que cette entreprise soit ciblée à nouveau, que ce soit dans les mois, les semaines, voire les jours qui suivent l'attaque initiale », prévient François-Christophe Jean. Pour rappel, les autorités françaises n’ont pas totalement interdit le paiement des rançons, mais conseillent fortement de ne pas céder, pour les raisons évoquées plus haut. La loi d’orientation et de programmation (LOPMI) impose aux victimes de porter plainte pour préserver leur droit à indemnisation, « au plus tard soixante-douze heures après la connaissance de l'atteinte par la victime ».