Les poules aux œufs d’or se rebellent. Ciblées par des attaques ransomwares dans l’espoir qu’elles paient la rançon pour récupérer leurs données, les entreprises rechignent de plus en plus à sauter le pas. Conséquence : en 2022, le montant des rançons collectées par les hackers a chuté de 40%, selon le rapport annuel du cabinet spécialisé Chainalysis. Avec « seulement » 457 millions de dollars récoltés, contre 766 millions en 2021, les groupes cybercriminels ont fait mauvaise fortune – l’histoire ne dit pas s’ils ont eu bon cœur, le paiement de la rançon ne garantissant pas la restitution des données volées.
« 2021 a été une année faste pour le ransomware, avec d’énormes vulnérabilités qui permettaient de s’introduire facilement dans les systèmes d’information des entreprises, se rappelle Vincent Nguyen, nouveau directeur cyber de l’assureur Stoïk. On a constaté moins de vulnérabilités de ce type en 2022. » En effet, en 2020 et 2021, les attaques avaient rapporté plus de 700 millions de dollars aux pirates, du jamais vu. Les 457 millions de dollars rackettés en 2022 constituent donc une nette amélioration. Qu’est-ce qui peut l’expliquer ?
L’impact de la guerre en Ukraine
Autre particularité de l’année : le conflit russo-ukrainien qui a déstabilisé les pirates. « Beaucoup de groupes cybercriminels étaient hébergés en Ukraine. Lorsque la guerre a éclaté, certains ont été mobilisés pour combattre, d’autres n’ont plus disposé des moyens de continuer leurs activités », note Vincent Nguyen. Le conflit a également fait exploser d’autres groupes, au sein desquels cohabitaient jusque-là des hackers russes comme ukrainiens. Le collectif Conti, l’un des plus actifs début 2022, s’est ainsi pris les pieds dans le tapis diplomatique. En février, le groupe avait soutenu publiquement l’agression russe. En guise de représailles, l’un de ses membres ukrainiens a diffusé le code source du malware utilisé par Conti, laissant ainsi la possibilité aux entreprises de bloquer le logiciel.
Un cadre réglementaire plus contraignant mais plus protecteur
Les acteurs nationaux se mobilisent sur les questions cyber depuis longtemps : en France, l’Anssi constitue ainsi une figure de proue dans le domaine et déconseille année après année de payer les rançons. Au niveau européen, le Digital Operational Resilience Act (Dora), discuté l’année dernière, prévoit de doter les acteurs bancaires et assurantiels de davantage de moyens pour endiguer le risque cyber et doper leur résilience. Même s’il n’est pas encore formellement voté et s’il ne s’appliquera qu’aux établissements financiers, il participe à éduquer toutes les entreprises à une forme de « résilience opérationnelle », souligne le directeur cyber de Stoïk. Outre-Atlantique, c’est une alerte de la direction du Trésor américain, en septembre 2021, qui a freiné le paiement des rançons : l’institution listait les risques juridiques qu’encouraient les entreprises qui se décidaient à payer, au premier rang desquels figuraient des poursuites pour financement du terrorisme si les bénéficiaires de la rançon pouvaient être liés à un groupe menant des actions terroristes.
Des forces de l’ordre plus efficaces
Rendons aux forces de l’ordre ce qui leur appartient : si les pirates perdent en rentabilité, c’est aussi parce que de leur côté, elles gagnent en efficacité. En France comme à l’international, police et gendarmerie ont recruté et formé des experts cyber qui parviennent progressivement à endiguer les projets des pirates. « La coopération internationale se renforce également », note Vincent Nguyen, qui cite notamment l’arrestation en novembre, sur le territoire canadien, de Mikhail Vasiliev, membre influent du groupe LockBit.
Moins d’intermédiaires pour plus de sécurité
L’efficacité des forces de l’ordre en ont fait des acteurs incontournables en cas d’incident. Les entreprises ne s’y trompent pas et ont désormais le réflexe de les alerter plutôt que de se référer à des experts auto-proclamés – parfois en vain. « Des négociateurs privés s’étaient positionnés sur le paiement de la rançon, avec une rémunération indexée sur le montant négocié de la rançon, note le directeur cyber de Stoïk. Lorsqu’on est attaqué, c’est essentiel de négocier pour gagner du temps dans la gestion de la crise mais les entreprises ont été formées à ne pas négocier n’importe comment avec n’importe qui. Les forces de l’ordre ont pris les choses en main, ce qui fait que le paiement des rançons se fait désormais davantage sous leur contrôle. » Et se fait donc moins, la plupart des autorités officielles conseillant de ne pas payer les rançons.
Une meilleure couverture assurantielle
Malgré une faible couverture assurantielle pour le risque cyber, de plus en plus d’entreprises sautent le pas. Et cela les protège en cas d’incident. « L’enjeu pour un assureur, quelles que soient les garanties de son client et y compris s’il couvre le paiement de la rançon, est de l’aider à remettre son système informatique en état pour limiter l’impact financier de l’attaque. Le paiement de la rançon n’est que la dernière des solutions », atteste Jules Veyrat, fondateur de Stoïk. Les assureurs disposent ainsi pour la plupart d’accords avec des prestataires spécialisés pour que leurs clients puissent bénéficier d’un soutien quasi immédiat en cas d’incident. Stoïk a de son côté fait le choix de développer cette expertise en interne. Mais le résultat est le même : les assurés ont accès à des services qui leur permettent d’éviter la case « paiement de la rançon ».
Des entreprises mieux préparées
« Aujourd’hui, tous les étages travaillent main dans la main pour renforcer le niveau de sécurité des organisations », se réjouit Vincent Nguyen. Le dernier étage de cette fusée anti-ransomwares est constitué des entreprises victimes. Régulièrement attaquées, elles sont davantage sensibilisées. Cela se traduit par des entreprises qui se résolvent de moins en moins à accéder aux exigences des pirates. Ainsi, l’entreprise spécialisée Coveware citée dans le rapport de Chainalysis estime que la probabilité qu’une entreprise paye effectivement la rançon lors d’une attaque ransomware a pour la première année en 2022 chuté sous les 50%, à 41%. En 2019, cette probabilité était encore de 76%.
Plus résistantes et plus résilientes, les victimes ne doivent pas pour autant se réjouir trop vite : si la collecte 2022 des pirates a été moindre, les 457 millions de dollars récoltés restent largement supérieurs aux montants qui avaient cours avant la pandémie : en 2019, les pirates n’étaient parvenu à extorquer « que » 174 millions de dollars à leurs victimes. Soit une hausse de 167% des sommes dérobées entre 2019 et 2022. Pas vraiment de quoi exulter…
