« Le ransomware, c’est l’arme du pauvre. C’est ce qui explique son succès, et c’est ce qui rend les PME particulièrement vulnérables », estime Fabrice Epelboin, enseignant à l’IAE de Poitiers et Sciences Po Paris. Cet expert en géopolitique et cybersécurité explique qu’il n’est plus nécessaire d’avoir des compétences techniques ou d’importants moyens financiers pour lancer une attaque de ce type. Il existe désormais des ransomwares « prêts à l’emploi », qui ne coûtent rien (à part le partage des gains avec le développeur du logiciel malveillant), et qui visent large, sans distinction. Quelle est l’ampleur de la situation ?
Une progression difficile à chiffrer
En novembre 2021, le service Interstats du ministère de l’intérieur publiait une étude sur l’état des ransomwares en France. De 2016 à 2020, entre 1 580 et 1 870 plaintes en lien avec des attaques par rançongiciel auraient été enregistrées. Parmi celles-ci, 15% concernent les entreprises et les institutions.
Les chiffres de l’Agence Nationale de la Sécurité des Systèmes d’Information donnent encore plus le vertige : l’Anssi mesure une augmentation de 255% des signalements d’attaques par ransomwares envers des organismes publics ou privés entre 2019 et 2020 – et ceux-ci ne s’accompagnent pas toujours d’une plainte formelle.
Du côté des montants des rançons, ils ne sont renseignés que dans 16% des procédures. Entre 2016 et 2020, seules 7 entreprises ont déclaré des rançons supérieures ou égales à 250 000 euros. La valeur médiane des rançons est passée de 1 350 euros en 2016 à 6 375 euros en 2020, augmentant en moyenne de 50% par an. Bonne nouvelle néanmoins : la tendance au paiement des rançons serait à la baisse (5% en 2021 contre 20% l’année précédente). Selon le cabinet Wavestone, c’est le signe d’une meilleure compréhension des enjeux et d’une plus grande capacité à régler le problème en interne, peut-on lire dans un rapport sur l’état des ransomwares en France réalisé en octobre 2021.
Des attaques qui se diversifient
Dans 80% des attaques, les ransomwares sont le fait de groupes criminels selon l’ONUDC (Office des Nations Unies contre les Drogues et le Crime). Mais les auteurs de ces délits n’ont plus nécessairement besoin de développer de compétences techniques complexes. Les plateformes de « ransomwares as a service » fournissent directement des rançongiciels, moyennant l’obtention d’un pourcentage de la somme rançonnée.
Les chiffres du ministère de l’intérieur confirment qu’une infraction d’atteinte aux systèmes de traitement automatisé des données (STAD) est identifiée dans 82% des attaques par ransomwares, mais il existe d’autres types d’assaut, comme le chantage pour extorsion de fonds ou l’abus de confiance. Au-delà du blocage du service informatique, la combinaison avec un vol de données se fait de plus en plus fréquente (30% des cas), rapporte Wavestone.
Dans la majorité des attaques, il s’agit de campagnes non ciblées. E-mails, téléchargements automatiques (« drive by download »), logiciels gratuits ou publicités malveillantes (« malvertising »)… Ces attaques installent des logiciels pirates via une pièce jointe ou une page web. Wavestone analyse que le principal canal d’accès est l’utilisation de comptes valides (23% des attaques), suivi des e-mails frauduleux (20%) et des services d’accès distants grâce à des failles de sécurité ou des défauts de configuration (18%).
Lorsque les attaques sont ciblées, les cybercriminels cherchent à obtenir des listes d’adresses de messagerie professionnelles sur le darknet, avec l’objectif de toucher directement les entreprises dont certaines données sensibles sont stockées sur les ordinateurs des salariés.
Comment s’organiser ?
La meilleure des préventions reste la sensibilisation des équipes, notamment grâce à la mise en place d’exercices. Il peut être utile de mettre en place un service de détection d’attaques, actif 24 heures sur 24. Enfin, de nouvelles offres de cyberassurance voient le jour et doivent permettre aux entreprises d’identifier leurs failles en amont, de minimiser la perte des données et de se faire rembourser en cas de paiement d’une rançon. C’est par exemple le cas de Stoïk, première cyber-insurtech française à associer assurance et logiciel de sécurité, qui a annoncé une levée de fonds de 3,8 millions d’euros le 12 janvier 2022.
