par Une étude internationale met en lumière l’inefficacité du paiement de rançon face aux attaques de rançongiciel (ransomware). Contrairement aux promesses des acteurs malveillants, céder aux exigences financières n’assure ni la restitution des données ni leur non-divulgation, exposant au contraire les organisations à une revictimisation systémique. L’échec confirmé de la négociation avec les cybercriminels : 83 % des payeurs de rançon attaqués une seconde fois.
Une nouvelle étude de CrowdStrike révèle l’inefficacité dramatique du paiement de rançon face aux attaques de ransomware. Non seulement 83% des organisations qui cèdent sont ‘revictimisées’, mais 93% d’entre elles voient leurs données divulguées malgré les promesses des cybercriminels. Ce constat renforce les initiatives internationales visant à décourager tout paiement, soulignant que l’enjeu principal a évolué du simple chiffrement à l’extorsion par divulgation et à la vulnérabilité des systèmes de sauvegarde.
Les résultats d’une récente étude annuelle sur l’état du rançongiciel (State of Ransomware), menée par la société de cybersécurité CrowdStrike auprès de 1 100 décideurs en technologies de l’information (IT) au sein d’organisations de plus de 250 employés, démontrent l’inefficacité et les risques majeurs associés au paiement des rançons.
Le constat est frappant. Il montre que 93% des organisations ayant accédé à une demande de rançon ont néanmoins vu leurs données exfiltrées, en dépit des promesses faites par les cybercriminels de les détruire ou de ne pas les divulguer. Ce chiffre révèle que le modèle de l’extorsion par rançongiciel repose fondamentalement sur la double menace : le chiffrement (verrouillage) des données et leur exfiltration/divulgation.
De plus, l’étude met en évidence la vulnérabilité accrue des entités qui paient. En effet, selon cette étude 83% des organisations ayant payé une rançon ont été la cible d’une nouvelle attaque par rançongiciel, prouvant qu’elles sont perçues par les acteurs malveillants comme des cibles « rentables » et permissives. Et deuxièmement, malgré le paiement, 45% des victimes n’ont pas pu récupérer l’intégralité de leurs données, même chiffrées.
Comme le note CrowdStrike, le paiement d’une rançon ne garantit en aucun cas la confidentialité des données ni l’immunité contre de futures attaques. Ce constat modifie fondamentalement le calcul du rapport risque-bénéfice pour les organisations ciblées, les facteurs économiques favorisant les attaquants qui peuvent exploiter ou revendre les données volées, ou encore financer le développement de leurs cyberarmes.
Initiatives internationales : les autorités mondiales s’unissent pour décourager le paiement des rançons
Face à ce dilemme éthique et pratique, les autorités nationales et les groupes de travail internationaux multiplient les initiatives pour décourager le paiement des rançons.
En Europe, les organismes de Cybermalveillance conseille explicitement de ne pas payer la rançon. Le paiement est considéré comme un financement direct des activités criminelles et un encouragement à la surenchère. La seule obligation légale en vigueur est le signalement des incidents de ransomware aux commission nationales de surveillance dès lors qu’il existe un risque de violation de données à caractère personnel.
De plus, depuis fin 2023, il y a une coordination internationale. En effet, quarante pays (dont l’Union Européenne) se sont engagés, sous la coordination des États-Unis, à ne plus céder aux cybercriminels et à partager des informations stratégiques sur les circuits de paiement utilisés.
Et enfin, certains pays envisagent des mesures plus strictes. Le Royaume-Uni, par exemple, étudie l’interdiction de tout paiement de rançon par ses administrations, tandis que l’Australie impose aux grandes entreprises (chiffre d’affaires supérieur à 3 millions de dollars australiens) de déclarer au gouvernement le paiement d’une rançon, à des fins de transparence et de renseignement.
La vulnérabilité des systèmes de sauvegarde
L’étude bat également en brèche la perception selon laquelle les outils de sauvegarde et de restauration (backup) constituent un filet de sécurité absolu contre les rançongiciels.
Près de quatre déclarants sur dix affirment ne pas avoir pu récupérer la totalité de leurs données suite à un incident, qu’ils aient payé ou non la rançon. Les acteurs malveillants sophistiqués ciblent souvent les sauvegardes avant de lancer l’attaque de chiffrement principale.
Enfin, même pour les 82% d’organisations qui parviennent à récupérer entièrement leurs données, l’étude révèle qu’elles « ne sont pas équipées pour faire face aux répercussions sur leur réputation liées à la fuite de données sensibles ». Ce fait souligne que l’enjeu principal du ransomware a évolué du simple chiffrement à l’extorsion par divulgation, nécessitant une gestion de crise et des plans de communication spécifiques pour atténuer l’impact réputationnel.
