Cliquez ce lien pour accéder au format PDF
Dans les premières années qui ont suivi l’apparition des ransomwares, de nombreuses victimes (sinon la plupart) étaient réticentes à l’idée d’admettre publiquement qu’elles avaient été touchées, de peur d’aggraver l’impact commercial de l’attaque en question. Les inquiétudes concernant d’éventuels commentaires négatifs dans la presse et la potentielle perte de clientèle ont conduit de nombreuses organisations à garder le silence.
Plus récemment, la situation a changé, les victimes de ransomware étant de plus en plus disposées à reconnaître qu’elles ont, bel et bien, été la cible d’une attaque. Cette évolution est probablement due en partie à la banalisation des attaques de ransomware : en effet, nos rapports (entièrement anonymes) sur l’état des ransomwares ont révélé des taux d’attaque supérieurs à 50 % au cours des trois dernières années et la reconnaissance publique d’une attaque par des marques bien connues est devenue monnaie courante. En bref, être touché par un ransomware ne génère plus aujourd’hui automatiquement un sentiment de honte.
L’augmentation du signalement obligatoire des attaques dans de nombreuses juridictions est également susceptible d’entraîner une plus grande divulgation, en particulier dans le secteur public qui est le plus touché par ces réglementations et exigences.
Même s’il existe un sentiment général selon lequel les rapports ont augmenté, il a été difficile d’obtenir, jusqu’à présent, des informations détaillées et des comparaisons régionales. L’enquête Sophos intitulée L’état des ransomwares (State of Ransomware) de cette année met en lumière ce domaine particulier, révélant ainsi pour la première fois comment les niveaux de signalement et les réponses officielles varient entre les 14 pays étudiés.
Signaler une attaque de ransomware est une démarche gagnant-gagnant
La nature et la mise à disposition d’une aide officielle en cas d’attaque de ransomware varient d’un pays à l’autre, tout comme les outils permettant de signaler une cyberattaque. Les victimes américaines peuvent utiliser la CISA (Cybersecurity and Infrastructure Security Agency) ; celles du Royaume-Uni peuvent obtenir des conseils auprès du NCSC (National Cyber Security Centre) ; et les organisations australiennes peuvent faire appel à l’ACSC (Australian Cyber Security Centre), pour ne citer que quelques exemples.
Signaler une attaque présente des avantages à la fois pour la victime et pour les organismes officiels qui cherchent à apporter leur aide :
- Aide à la remédiation immédiate : Les gouvernements et autres organismes officiels sont souvent en mesure de fournir une expertise et des conseils pour aider les victimes à traiter l’attaque et à minimiser son impact.
- Informations et conseils en matière de politiques : La protection des entreprises contre la cybercriminalité, notamment les ransomwares, constitue une priorité majeure pour de nombreux gouvernements à travers le monde. Plus les responsables disposent d’informations sur les attaques et leur impact, plus ils peuvent orienter les politiques et les initiatives.
- Permettre de démantèlement des groupes d’attaquants : Le partage, le plus tôt possible, des détails concernant une attaque facilite les efforts nationaux et transnationaux visant à éliminer les gangs cybercriminels, comme l’opération Lockbit en février 2024.
Compte tenu de ces avantages, les conclusions de l’enquête sont encourageantes.
Conclusion #1 : La plupart des attaques de ransomware sont aujourd’hui signalées
À l’échelle mondiale, 97 % des victimes de ransomware au cours de l’année écoulée ont signalé l’attaque aux forces de l’ordre et/ou aux organismes officiels. Les taux de signalement sont élevés dans tous les pays étudiés, avec seulement dix points d’écart entre le taux le plus bas (90% en Australie) et le plus élevé (100% en Suisse).
Les résultats révèlent que, même si le chiffre d’affaires annuel et le nombre d’employés ont un impact minime sur la propension à signaler une attaque, il existe certaines variations selon les secteurs. Dans les secteurs comportant un pourcentage élevé d’organisations du secteur public, presque toutes les attaques sont signalées :
- 100 % des administrations nationales et locales (n=93)
- 6% dans le secteur de la santé (n=271)
- 5% dans le secteur de l’éducation (n=387)
- 4% dans l’administration publique centrale (n=175)
La distribution et les transports ont le taux de signalement le plus faible (85 %, n=149), suivis par le secteur IT, technologie et télécommunications (92 %, n=143).
Conclusion #2 : Les forces de l’ordre aident presque toujours d’une manière ou d’une autre
Pour les organisations qui signalent l’attaque, la bonne nouvelle est que les forces de l’ordre et/ou les organismes officiels sont presque toujours impliqués. Dans l’ensemble, seulement 1 % des 2 974 victimes interrogées ont déclaré n’avoir reçu aucune aide bien qu’elles aient signalé l’attaque.
Conclusion #3 : La prise en charge des victimes de ransomware varie selon les pays
Les personnes interrogées qui ont signalé l’attaque ont reçu du soutien principalement de trois manières différentes :
- Conseils pour faire face à l’attaque (61%)
- Aide à l’investigation suite à l’attaque (60 %)
- Aide à la récupération des données chiffrées lors de l’attaque (40 % de toutes les victimes et 58 % de celles dont les données étaient chiffrées)
En détaillant un peu plus, nous constatons que la nature exacte de l’implication des forces de l’ordre et/ou des organismes officiels varie selon l’endroit où l’organisation est basée. Alors que plus de la moitié des victimes ont reçu des conseils pour faire face à l’attaque dans tous les pays étudiés, les organisations en Inde (71 %) et à Singapour (69 %) ont signalé le niveau d’aide le plus élevé dans ce domaine.
Les personnes interrogées en Inde ont également signalé le plus haut niveau d’aide à l’investigation suite à une attaque (70 %), suivis par celles d’Afrique du Sud (68 %), tandis que le taux le plus faible a été signalé en Allemagne (51 %).
Parmi les victimes dont les données ont été chiffrées, plus de la moitié dans le monde (58 %) ont reçu une aide pour récupérer ces dernières. L’Inde reste en tête du classement, avec 71 % de celles dont les données ont été chiffrées recevant de l’aide pour les récupérer. Les pays où les victimes ont la plus faible propension à recevoir de l’aide pour récupérer des données chiffrées se trouvent tous en Europe : Suisse (45 %), France (49 %), Italie (53 %) et Allemagne (55 %).
Conclusion #4 : Impliquer les forces de l’ordre est généralement facile
Il est encourageant de constater que plus de la moitié (59 %) des personnes interrogées ayant pris contact avec les forces de l’ordre ou les instances officielles suite à une cyberattaque ont déclaré que le processus de signalement avait été facile (23 % très facile, 36 % assez facile). Seuls 10 % ont déclaré que la procédure était très difficile, tandis que 31 % l’ont qualifiée de relativement difficile.
Cette facilité en matière d’implication varie également selon les pays. Les victimes au Japon étaient les plus susceptibles de trouver le processus de reporting compliqué (60 %), suivies par celles résidant en Autriche (52 %). Les personnes interrogées au Japon sont également celles qui ont la plus forte propension à trouver “très difficile” le processus de signalement d’une attaque (23 %). À l’inverse, les personnes interrogées au Brésil (75 %) et à Singapour (74 %) sont les plus susceptibles de trouver facile le processus d’implication, tandis que les organisations italiennes ont le pourcentage le plus élevé de personnes qui trouvent ce processus “très facile” (32 %).
Conclusion #5 : Il existe une multitude de raisons pour lesquelles les attaques ne sont pas signalées
Les raisons pour lesquelles 3 % des entreprises (86 personnes interrogées) n’ont pas signalé l’attaque sont diverses. Les deux raisons les plus fréquentes étant la crainte d’un impact négatif sur leur activité, comme, par exemple, des amendes, des frais divers ou un surcroît de travail (27 %), et le fait qu’elles ne pensaient pas que ce processus leur serait vraiment utile (27%). Plusieurs personnes interrogées ont indiqué dans des commentaires que leur entreprise n’avait pas fait appel à des organismes officiels parce qu’elle était parvenue à résoudre le problème en interne.
Conclusion
Les résultats de l’enquête ont révélé que les signalements d’attaques de ransomware sont très courants et que les victimes reçoivent presque toujours une assistance lorsqu’une telle démarche est lancée. Espérons que ces résultats encourageront toute organisation qui serait victime, à l’avenir, d’une attaque à en informer les divers organismes concernés. S’il est généralement facile pour les organisations de signaler une attaque, il existe également des moyens de faciliter ce processus à un moment qui, en général, est très stressant. Comme le souligne Chester Wisniewski, Global Field CTO chez Sophos : “Les cybercriminels réussissent en partie grâce à l’ampleur et à l’efficacité avec lesquelles ils opèrent. Pour les repousser, nous devons les égaler dans ces deux domaines. Cela signifie qu’à l’avenir, nous avons besoin d’une collaboration encore plus grande, tant au sein du secteur privé que public, et nous en avons besoin au niveau mondial”.
À propos de l’enquête
Le rapport intitulé L’état des ransomwares 2024 (State of Ransomware 2024) est basé sur les résultats d’une enquête indépendante commandée par Sophos, réalisée auprès de 5 000 responsables informatiques/cybersécurité répartis dans 14 pays sur le continent américain, la région EMEA et la région Asie-Pacifique. Toutes les personnes interrogées appartiennent à des organisations comptant entre 100 et 5 000 employés. L’enquête a été menée par le cabinet d’études Vanson Bourne, entre janvier et février 2024. Les participants ont été invités à répondre sur la base de leurs expériences au cours de l’année écoulée. Pour le secteur de l’éducation, les participants ont été séparés en deux groupes : enseignement primaire/secondaire et enseignement supérieur.
Billet inspiré de The role of law enforcement in remediating ransomware attacks, sur le Blog Sophos.
Qu’en pensez-vous ? Laissez un commentaire.