Le rançongiciel : comprendre son coût réel et passer au cloud géo-distribué

D’après une analyse de Gartner, “Hype Cycle for Storage and Data Protection Technologies”, d’ici 2025, 75% des entreprises seront victimes d’une attaque. L’Allemagne, la France et l’Italie sont d’ailleurs les pays les plus touchés en Europe. Adopter des mesures préventives comme sauvegarder régulièrement et intégrer un logiciel de sécurité permet d’économiser une somme conséquente sur le long terme.

La cause primaire d’une prolifération aussi rapide est le”Ransomware as a Service” (RaaS). Ce nouveau modèle de business criminel en croissance fulgurante permet à n’importe qui d’acheter des toolkit prêts à l’usage sur le Dark web en échange d’une compensation ou d’une partie de la rançon. Des organisations criminelles comme DarkSide ne se limitent pas à la réalisation de cyberattaques : il existe également des distributeurs de RaaS dont le rôle est de vendre ou de louer des logiciels à des tiers.

À la différence du pirate informatique traditionnel, le rançongiciel permet d’extorquer directement les fonds à la victime, ce qui permet à l’agresseur d’agir rapidement sans investir dans des ressources, comme la recherche d’acheteurs potentiels ou l’identification des données dérobées qui puissent être d’un quelconque intérêt pour un acheteur.

Face à l’omniprésence croissante d’un tel phénomène, il est donc crucial que les entreprises calculent la possibilité d’investir proactivement dans une solution sécurisée. Si en effet payer la rançon est onéreux, beaucoup plus graves sont les conséquences possibles  en termes de chute des profits, d’exposition au risque et de réduction de la productivité.

Payer la rançon, en effet, même si cela semble être l’option la plus économique, est souvent la plus coûteuse lorsque l’on analyse le coût véritable d’un rançongiciel. Comment est-ce possible ?

Rançongiciel et coût de la perte de données

Selon l’analyse de l’agence de cybersécurité Check Point Company, le véritable coût d’un ransomware est en moyenne 7 fois plus élevé que la rançon. Le coût d’un rançongiciel se décompose de la manière suivante :

  1. Paiement de la rançon;
  2. Coût du temps d’arrêt;
  3. Sanction pécuniaire pour violation du RGPD;
  4. Atteinte à la réputation

Paiement de la rançon

Un des “postes de dépenses” primaires, en cas d’attaque ransomware, est la rançon elle-même. Même si le paiement de la rançon peut sembler une solution facile et rapide, il est important de noter que de nombreuses victimes ne récupèrent pas toutes leurs données, même en ayant payé la rançon.

Dans certains cas, les criminels peuvent ne pas fournir la clé de déchiffrage, ou bien cette dernière peut être défectueuse. Il est estimé que plus de la moitié des victimes des ransomwares paient la rançon, mais seulement un quart voient leurs données restituées.

Selon le rapport Sophos ‘State of Ransomware 2024’, enquête indépendante conduite sur 5 000 responsables IT de 14 pays entre janvier et février, en France, le montant moyen de la rançon est élevé à plus de 4 millions de dollars.

Le coût du temps d’inactivité

Cependant, c’est bien le temps d’inactivité qui représente le coût le plus important. Une attaque par ransomware empêche en effet l’accès aux documents et aux systèmes, ce qui peut interrompre les opérations et provoquer une perte très importante de revenus. Cela peut être particulièrement dommageable pour les entreprises qui se basent sur des données en temps réel et qui opèrent dans les secteurs sensibles dont le temps est le facteur principal.

Gartner estime que le coût moyen du temps d’arrêt en cas de cyberattaque est de $5600 par minute soit environ $300000 par heure.

Sanctions prévues en cas de violation du RGPD

En cas d’attaque informatique entraînant la perte de données, des sanctions lourdes pour non conformité au RGPD pourraient être imposées; en plus des conséquences de l’attaque ransomware elle-même, l’entreprise victime pourrait alors être doublement impactée financièrement.

En effet, les organisations qui ne respectent pas les dispositions du règlement peuvent être condamnées à une sanction financière pouvant atteindre les 10 millions d’euros, soit 2% du chiffre d’affaires annuel mondial de l’année financière précédente, en fonction de la somme la plus élevée. Ceci représente une charge financière considérable pour les entreprises, en particulier pour celles qui doivent gérer une quantité très importante de données sensibles.

Atteinte à la réputation

L’atteinte à la réputation constitue, entre autres, un risque significatif. Une attaque ransomware peut en effet causer une perte de confiance des investisseurs et provoquer des conséquences négatives sur la réputation et les revenus de l’entreprise sur le long terme.

Selon une étude conduite par IBM et Forbes Insights, 46% des entreprises ayant été victimes d’une atteinte à la sécurité informatique ont aussi subi une chute significative de la valeur de leur propre marque et de leur réputation.

Les consommateurs, en effet, ont tendance à ne pas oublier les entreprises qui ne sont pas en mesure de protéger leurs propres informations. Un américain sur quatre déclare ne pas vouloir affaire aux entreprises ayant subi une violation de données.

Rançongiciel et coût de la prévention

L’utilisation de mesures préventives contre les attaques de ransomware, y compris la mise en œuvre de stratégies de sauvegarde et de récupération robustes, est essentielle pour sauvegarder les données et les opérations commerciales.

L’un des risques les plus importants d’une attaque de ransomware est la perte ou l’endommagement des données. Dans de nombreux cas, les attaquants prennent les données en otage, et même si la rançon est payée, il n’y a aucune garantie que la clé de décryptage fonctionnera. D’où la nécessité d’un plan de sauvegarde et de récupération efficace qui permette aux organisations de restaurer les données rapidement et efficacement, sans avoir à payer la rançon.

La sauvegarde pour une reprise efficace

Pour assurer une sauvegarde et une récupération efficaces, les organisations doivent mettre en œuvre une stratégie à 360° qui tienne compte du type et de la quantité de données, de la fréquence des sauvegardes, de l’emplacement de stockage et du processus de sauvegarde.

Le processus de sauvegarde doit impliquer la réalisation d’une copie des données à intervalles réguliers, par exemple tous les jours ou toutes les semaines. Ainsi, en cas d’attaque par un ransomware, les données peuvent être récupérées à partir de la sauvegarde la plus récente, avec une perte de données minimale.

L’emplacement de stockage des sauvegardes est également essentiel. Dans ce contexte, la plupart des agences de sécurité, y compris l’Agence américaine pour la cybersécurité et la sécurité des infrastructures (CISA), suggèrent de suivre la règle de sauvegarde 3-2-1, une meilleure pratique largement reconnue en matière de sauvegarde et de récupération.

Elle consiste à créer trois copies des données, à les stocker sur deux types de supports différents et à conserver une copie hors site. Cette approche garantit que les données sont protégées contre un large éventail de menaces, notamment les attaques de ransomware, les pannes matérielles et les catastrophes naturelles.

En suivant la règle de sauvegarde 3-2-1, les organisations peuvent minimiser le risque de perte de données et assurer une récupération rapide des données critiques en cas d’incident.

Test réguliers pour contrôler l’intégrité des sauvegardes

Le test du processus de sauvegarde et de récupération est également un élément clé d’une bonne stratégie de sauvegarde.

Des tests réguliers permettent d’identifier les faiblesses du processus de sauvegarde et de s’assurer que les sauvegardes fonctionnent correctement. En cas d’attaque par un ransomware, il est essentiel de pouvoir restaurer les données rapidement et efficacement afin de minimiser les temps d’arrêt et de réduire l’impact financier potentiel.

Il est important de noter que toutes les solutions de sauvegarde et de récupération ne sont pas aussi efficaces les unes que les autres : le choix de la bonne architecture de stockage peut avoir un impact significatif sur les délais de récupération et la fiabilité des données.

Bien que les méthodes de sauvegarde traditionnelles soient toujours utilisées, elles peuvent ne pas être adaptées à une récupération rapide des données en cas d’attaque par un ransomware.

Cubbit, leader du cloud géo-distribué et anti-ransomware by design

Cubbit met à disposition une plateforme à risque zéro contre tout événement susceptible de compromettre les données ou d’entraîner leur perte. En effet, au lieu d’héberger les données dans les serveurs d’un seul centre de données, Cubbit les chiffre, les fragmente, puis les transfère sur un réseau de stockage géo-distribué géré par les utilisateurs eux-mêmes. Dans chaque nœud sont conservés uniquement des petits fragments indifférenciables les uns des autres, ce qui signifie que même en présence d’un nœud endommagé, les données sont récupérables, et la violation ou le dysfonctionnement d’un nœud déclenche automatiquement la redistribution des autres restés intacts. Tout cela sans interruption des activités.

Le cloud de Cubbit est immuable grâce à deux caractéristiques clés : le versioning et le verrouillage d’objets. Le versioning permet à l’utilisateur de stocker la dernière version du fichier – la version actuelle – mais aussi toutes les versions précédentes. Ainsi, si un ransomware rend un fichier inaccessible, il suffit d’accéder à une autre version, et ne pas payer de rançon. Le verrouillage d’objet permet quant à lui de “geler” ou rendre immuable un fichier pendant une durée déterminée par l’utilisateur. Pendant cette période, personne – ni l’utilisateur lui-même, ni Cubbit, ni le hacker – ne peut modifier, chiffrer ou supprimer ce fichier.

Pour en savoir plus sur les ransomware et les bonnes pratiques à adopter, téléchargez notre guide anti- ransomware 2024.

En savoir plus : https://www.cubbit.io/

Sur le même sujet