Paiement des rançons : 90% des entreprises ne respectent pas leur politique interne

0
224

Comme vous le savez sûrement, le 31 octobre dernier, 40 pays dont la France se sont engagés à ne plus jamais donner d’argent en cas d’attaque par ransomware. Une étude de Cohesity révèle que la plupart des entreprises paient des millions en rançons, malgré leur politique de « non-paiement »

93 % des entreprises seraient incapables de restaurer leurs données et de rétablir leurs processus opérationnels dans les trois jours.

Tribune – Pourtant, l’enquête menée par Cohesity auprès de 900+ décideurs IT à travers le monde montre que 80 % des répondants déclarent avoir été victimes d’une attaque par ransomware dans les 6 mois qui ont précédé le sondage, et 90 % d’entre eux disent avoir procédé au paiement d’une rançon pour restaurer leurs données, malgré la politique de non-paiement de leur organisation.

Le sondage Cohesity révèle d’ailleurs que plus des deux tiers des personnes interrogées (67 %) se disent prêtes à payer plus de 3 millions de dollars pour récupérer leurs données et restaurer leurs opérations — voire 5 millions pour 35 % d’entre eux.

En plus de faire le jeu des cybercriminels, payer une rançon n’assure pas aux entreprises d’être sorties d’affaires. Pour François Christophe Jean, Field Technology Director chez Cohesity, « le paiement d’une rançon n’entraîne pas systématiquement la restauration de toutes les données. Par ailleurs, ce qui est alarmant, c’est que 90 % des entreprises touchées par une attaque de ransomware ont payé une rançon, enfreignant ainsi leur propre politique de non-paiement. La dernière chose dont les entreprises ont besoin après avoir fait face à de telles attaques, est la perspective d’une lourde amende pour avoir enfreint le cadre légal imposé par les autorités de marché et les politiques locales ».

Si une attaque par ransomware est aujourd’hui devenu quasi inévitable, les entreprises doivent renforcer leur cyber-résilience en réfléchissant à l’avant et l’après. « Encore aujourd’hui, les entreprises tendent à concentrer leurs efforts de sécurisation uniquement sur le rétablissement rapide des systèmes de production, délaissant le risque qui pèse sur les outils de restauration eux-mêmes. Par exemple, sans une enquête minutieuse en salle propre, ou « clean room », il est possible de passer à côté de la charge utile qui a déclenché l’attaque  » explique François-Christophe Jean.

Une étude commanditée par Cohesity, l’un des spécialistes de la gestion et de la sécurisation des données augmentée par l’IA, révèle que l’omniprésence des cyberattaques obligerait la majorité des entreprises à payer des rançons, enfreignant leur propre politique de « non-paiement ». Ce phénomène serait par ailleurs accentué par des lacunes récurrentes en matière de restauration des données. L’étude menée auprès de plus de 900 décideurs IT et sécurité montre que les entreprises ne se posent plus la question de savoir « si », mais « quand » elles se feront attaquer. L’étude révèle également que la plupart des entreprises ont payé une rançon au cours des deux dernières années, et qu’une majorité s’attend à ce que la menace cyber augmente considérablement en 2024.

Fait alarmant, près de 8 répondants sur 10 (79 %) ont déclaré que leur entreprise avait été victime d’une attaque par ransomware entre juin et décembre. Le paysage de la menace cyber devrait encore s’aggraver en 2024, 96 % des personnes interrogées affirmant que la menace des cyberattaques pour leur secteur d’activité augmentera cette année, et plus de 7 sur 10 prévoyant une augmentation de plus de 50 %.

La surface d’attaque d’une organisation est définie par la taille, la complexité et la portée de ses environnements de gestion des données. 78 % des répondants ont déclaré que les risques liés à la sécurité des données ont augmenté plus rapidement que la croissance des données elles-mêmes. Les personnes interrogées estiment également que leurs stratégies de cyber-résilience et de sécurité des données ne sont plus adaptées au paysage actuel des menaces, 21 % seulement ayant pleinement confiance dans la stratégie de cyber-résilience de leur entreprise et dans sa capacité à « faire face à l’évolution des défis liés aux menaces cyber »[1].

La lenteur de la restauration des données et le manque de cyber-résilience entraînent le paiement de rançons

La cyber-résilience est devenue l’épine dorsale de la continuité des activités. Elle définit la capacité des entreprises à restaurer leurs données et à rétablir leurs processus opérationnels lorsqu’elles sont victimes d’une cyberattaque ou d’un incident.

L’étude souligne l’ampleur des défis en matière de cyber-résilience :

  • Tous les répondants de l’étude ont déclaré avoir besoin de plus de 24 heures pour restaurer leurs données et rétablir leurs processus métier.
  • Seulement 7 % ont déclaré que leur entreprise pouvait restaurer les données et rétablir les processus opérationnels dans un délai de 1 à 3 jours.
  • 35 % ont déclaré pouvoir restaurer en 4 à 6 jours, et 34 % ont besoin de 1 à 2 semaines pour le faire.
  • De manière alarmante, près d’une entreprise sur quatre (23 %) a besoin de plus de 3 semaines pour restaurer ses données et rétablir ses processus métier.

Preuve supplémentaire des lacunes en matière de cyber-résilience, à peine 12 % ont déclaré que leur entreprise avait procédé à des tests de résistance de leurs processus ou solutions de sécurité, de gestion et de restauration des données au cours des six mois précédant l’enquête, et 46 % n’ont pas testé leurs processus ou solutions depuis plus de 12 mois.

À la lumière de ce constat, il apparaît finalement peu surprenant que 94 % des répondants déclarent que leur entreprise paierait une rançon pour restaurer les données et rétablir les processus opérationnels en cas d’attaque réussie ; 5 % ont répondu « peut-être, en fonction du montant de la rançon ». Plus de 2 répondants sur 3 (67 %) ont déclaré que leur entreprise serait prête à payer plus de 3 millions de dollars de rançon pour restaurer leurs données et récupérer leurs processus opérationnels, et 35 % plus de 5 millions de dollars. L’étude souligne par ailleurs un paradoxe important : 9 répondants sur 10 ont déclaré que leur entreprise avait payé une rançon au cours des deux années précédentes, alors que 84 % d’entre elles avaient mis en place une politique de « non-paiement ».

« Les organisations ne peuvent pas contrôler l’augmentation du volume, de la fréquence ou de la sophistication des cyberattaques telles que les ransomwares. Ce qu’elles peuvent contrôler, c’est leur cyber-résilience, c’est-à-dire leur capacité à réagir rapidement et à se remettre d’une cyberattaque ou d’une panne informatique, en adoptant des capacités avancées de sécurisation des données », a déclaré Brian Spanswick, RSSI et directeur de l’IT chez Cohesity. « Il n’est pas surprenant que la majorité des entreprises aient été touchées par des cyberattaques telles que les ransomwares. Ce qui est alarmant, c’est que 90 % d’entre elles ont payé une rançon, enfreignant ainsi leur propre politique de non-paiement, et que la plupart sont prêtes à payer jusqu’à 3 millions de dollars de rançon parce qu’elles ne peuvent pas récupérer leurs données, ou ne peuvent pas le faire assez rapidement. »

La direction générale devrait porter la responsabilité des risques liés à la sécurité des données

L’étude révèle deux axes d’amélioration possibles : la sensibilisation et la responsabilisation des dirigeants en matière de sécurité des données, puisque seulement 35 % des répondants déclarent que leurs supérieurs et dirigeants comprennent parfaitement « la gravité des risques et les défis quotidiens liés à la protection, à la sécurisation, à la gestion, à la sauvegarde et à la restauration des données ». Quatre répondants sur cinq ont déclaré que la direction générale et les conseils d’administration devraient partager la responsabilité de la stratégie de sécurité des données de leur entreprise, tandis que 67 % ont déclaré que le DSI et le RSSI de leur entreprise pourraient être mieux alignés.

Les plus grandes inquiétudes concernant les conséquences d’une violation de données ou d’une cyberattaque réussie sont, par ordre d’importance : une atteinte à la réputation de la marque (34 %), une baisse du cours de l’action, des investissements ou de la rentabilité (31 %), un impact direct sur le chiffre d’affaires (30 %) et une perte de confiance de la part des parties prenantes (30 %). À la question de savoir qui est le plus touché par une violation de données ou une cyberattaque, les personnes interrogées ont répondu que les clients existants (29 %), l’équipe de sécurité (29 %), l’équipe informatique (28 %), les employés (28 %) et leurs partenaires tiers (27 %) étaient les plus touchés.

« La cyber-résilience et la sécurité des données devraient être une priorité organisationnelle holistique, car chaque fonction et chaque employé utilise les données et les systèmes d’information. Les graves conséquences d’une cyberattaque réussie ou d’une violation de données sur la continuité de l’activité, le chiffre d’affaires, la réputation et la confiance suffisent à empêcher les dirigeants d’entreprise, les responsables informatiques et les responsables de la sécurité de dormir », a déclaré Sanjay Poonen, PDG de Cohesity. « Pour répondre rapidement aux cyberattaques, les organisations ont besoin de solutions de sécurité et de gestion des données alimentées par l’IA, qui protègent leurs données, détectent lorsqu’elles sont attaquées et les restaurent le plus rapidement possible pour rétablir leurs processus opérationnels. »

La réglementation n’incite pas les entreprises à adopter de meilleures pratiques en matière de sécurité des données

Malgré les efforts constants des gouvernements et des institutions publiques pour encourager les meilleures pratiques en matière de cybersécurité et de gestion des données, seulement 46 % des personnes interrogées déclarent que les réglementations stimulent les initiatives de leur entreprise en matière de sécurité, de gestion ou de restauration des données.