Quels sont les coûts réels d’un ransomware ?
1. Coûts directs : l’argent de la rançon
Bien sûr, le montant de la rançon est la 1ère chose à laquelle nous pensons et fait souvent la une des journaux mais ce n’est qu’une des composantes – et pas nécessairement la plus importante – du coût global d’un logiciel malveillant.
Au troisième trimestre 2019, le montant moyen des rançons a augmenté de 13 % pour atteindre 38 000 euros (contre 33 500 euros au deuxième trimestre). Le ransomware Ryuk est en grande partie responsable de cette augmentation massive. Ces opérateurs de ransomeware ont exigé 265 000 euros en moyenne pour déverrouiller les systèmes informatiques, contre 9.000 euros environ pour les autres organisations criminelles.
2. Coûts indirects : interruption forcée de l’activité
Les coûts indirects d’une attaque – générés par une interruption de l’activité- sont 5 à 10 fois plus élevés que les coûts directs. Il est souvent difficile de calculer avec précision le coût réel d’un arrêt d’activité, car il peut avoir un impact différent selon les entreprises.
En effet, si le coût total médian d’une attaque par ransomware était de 175.000 euros en France – soit le deuxième montant le plus élevé pour les entreprises, juste derrière les Etats-Unis à 183.000 euros – cette somme va bien au-delà de la seule rançon. Elle inclue les temps d’arrêt, la main d’œuvre, le coût au niveau des équipements, le coût au niveau du réseau et les opportunités perdues. 8 % des entreprises françaises ont déclaré entre 1 et 5,3 millions d’euros de coût global !
Aux Etats-Unis, un incident lié à ce type d’attaque dure désormais en moyenne 16,2 jours, contre 12,1 au troisième trimestre 2019[1]. Par ailleurs, les attaques contre les établissements de soins de santé ont également augmenté à un rythme alarmant en 2019 et il y a eu une recrudescence de ransomwares contre les entités gouvernementales, les villes et les municipalités. Pas moins de 174 villes et 3 000 administrations municipales ont été ciblées par une attaque (plus 60% par rapport à 2018) l’année dernière.
3. Coûts indirects : perte de réputation
Les ransomwares d’aujourd’hui ne sont pas différents des cyberattaques rusées du passé. A la fois, très destructeurs et visibles, ils ne laissent pas d’autres choix aux victimes que de les rendre publics.
Un tel aveu peut souvent entraîner un tollé et la protestation des clients, des investisseurs et autres parties prenantes. Si dans de nombreux cas, les données peuvent être récupérées relativement rapidement, il est plus difficile de regagner la confiance des clients, surtout lorsque la révélation de l’attaque n’a pas été faite dans les temps, ni de manière transparente. Cela peut avoir des conséquences négatives sur la fidélisation des clients existants, sur l’acquisition de futurs clients mais également sur la valeur boursière d’une entreprise.
4. Coûts indirects : dommages collatéraux
Comme pour tout type de cyberattaque, les victimes doivent être préparées à une série de conséquences possibles, y compris des dommages qui ne proviennent pas directement de l’attaque elle-même. Brian Krebs, journaliste américain spécialisé en cybersécurité, affirme que dans une entreprise initialement […..]
