Ransomware: les cyber-assureurs font-ils le jeu des hackers?
Les attaques exploitant des ransomware coûtent de plus en plus aux entreprises victimes. Lorsqu’elles ne parviennent pas à déjouer l’attaque, de nombreuses organisations s’acquittent de la rançon exigée par les pirates, parfois via leur cyberassurance. Une pratique critiquée car elle participe au financement des criminels.
Les cyberattaques employant des ransomware touchent moins d’entreprises mais coûtent de plus en plus. Selon le dernier rapport de Sophos sur le sujet, 37% des organisations dans le monde disent avoir été ciblées en 2020. En Suisse, ce serait le cas de 46% des entreprises.
Selon l’enquête de Sophos sur les attaques survenues en 2020, plus de la moitié des organisations touchées ont pu récupérer leurs données à partir de sauvegardes, tandis qu’un tiers s’est acquitté de la rançon exigée par les pirates.
Des coûts élevés pour les organisations
Les études montrent que tant les rançons exigées que le coût global des attaques ne cessent d’augmenter. Selon Sophos, la rançon moyenne payée s’élèverait à 170’000 dollars, mais le montant le plus fréquent serait de 10’000 dollars. A 420’000 dollars en moyenne, les pirates exploitant le ransomware Maze seraient les plus voraces, rapporte l’assureur spécialisé Coalition. Quant aux coûts globaux (rançon, interruption de l’activité, personnel, réseau, etc.), ils atteignaient 1,85 millions de dollars en moyenne en 2020.
Les montants sont donc élevés et les payer ne résout souvent pas entièrement le problème. Après avoir versé la rançon, les organisations récupèrent 65% de leurs données chiffrées en moyenne et seul 8% des entreprises parviennent à les retrouver intégralement, selon le rapport de Sophos. L’enquête du spécialiste en cybersécurité confirme par ailleurs une recrudescence des attaques combinant cryptage et vol de données, qui permettent aux pirates d’agiter une double menace.
Attaques déjouées
La bonne nouvelle, c’est que les entreprises améliorent leur protection et que les attaques sont souvent déjouées. Seuls 54% des tentatives de crypter les données auraient ainsi abouti en 2020, contre 73% un an avant. Les autorités locales seraient à la fois celles qui peinent le plus à empêcher le cryptage de leurs données et celles qui paient le plus souvent les rançons aux pirates.
La majorité des organisations n’ayant pas souffert d’un ransomware en 2020 redoutent cependant de faire partie des victimes dans le futur, notamment en raison de la sophistication croissante des attaques. De nombreuses entreprises s’estiment en revanche à l’abri, parce qu’elles ont formé leurs équipes sécurité pour répondre aux attaques ou parce qu'elles ont déployé des outils anti-ransomware.
Source: Sophos, 2021 (N=1'166)
Cyber-assureurs incriminés
Pour éviter de payer une amende salée en cas d’attaque réussie, certaines organisations souscrivent à des assurances couvrant les coûts engendrés, voire le montant de la rançon. L’assureur spécialisé américain Coalition rapporte que les ransomware sont le premier type de sinistre cyber pour lequel ses assurés demandent des dédommagements.
La pratique de payer les rançons - en particulier lorsqu’elle est le fait des assureurs - fait cependant l’objet de nombreuses critiques car elle alimenterait le crime organisé. «Vous devez envisager sérieusement de modifier la loi sur les assurances et d'interdire ces paiements, ou à tout le moins, d'organiser une grande consultation avec le secteur», déclarait ainsi fin 2020 Ciaran Martin, ex-responsable de l’office britannique pour la cybersécurité. Et ces dernières semaines, la polémique a gagné la France, les assureurs étant accusés de payer trop facilement des rançons et de faire ainsi du pays une cible idéale.
Face à ces critiques, AXA a décidé de suspendre une option anti-ransomware qu’il proposait sur le territoire français. D’autres assureurs préfèrent d’ailleurs ne pas proposer ce type de prestation dans leur couverture cyber. Leader mondial du courtage d’assurance, Marsh estime en revanche que c’est un mauvais procès fait aux assureurs: «Loin de faire partie du problème, la cyber-assurance peut être un outil précieux dans la lutte contre les ransomwares et autres cyber-menaces. Remplissant son rôle traditionnel, la cyberassurance mutualise les risques similaires auxquels sont exposés les assurés et répartit entre eux les pertes potentielles», explique l’entreprise.
Les prestataires de service de décryptage courtisés par les pirates
Les assureurs ne sont pas les seuls à essuyer des critiques. Les prestataires de services de récupération de données pourraient eux aussi faire le jeu des criminels. Ces derniers les verraient en tout cas bien devenir associés, selon une analyse de Kaspersky. Dans son «espace presse», le groupe de pirates DarkSide propose ainsi son assistance technique aux experts de sociétés offrant des services de décryptage. L’idée serait de développer un modèle commercial indirect, explique Kaspersky: «Les administrations publiques n'ont peut-être pas le droit de négocier avec les pirates, mais elles sont libres de travailler avec des fournisseurs de services de décryptage. Ces dernières agissent dans ce cas comme une sorte d'intermédiaire, prétendant restaurer les données mais se contentant en fait de payer les escrocs et d'empocher la monnaie».