Les prix des rançongiciels flambent et, quelles que soient les décisions prises par la victime, elle devra payer. Si les montants toujours plus importants des rançons versées par les victimes fuitent régulièrement, ceux des sommes payées par les victimes qui refusent de négocier avec les rançonneurs restent bien plus flous.
C’est pourquoi l’exemple du réseau des écoles publiques de Baltimore, aux États-Unis, est si intéressant. The Register a repéré que le district a communiqué le 16 juin sur les dépenses engendrées par l’attaque rançongiciel qu’elle a subi fin novembre 2020. À l’époque, toutes les classes se faisaient encore en ligne à cause du covid. Résultat : plus de 115 000 enfants se sont trouvés sans cours pendant une semaine, le temps que le district rétablisse son système en urgence.
Payer les cybercriminels peut coûter moins cher que ne pas les payer. // Source : La Rançon (1996)
Le réseau d’école a, semble-t-il, refusé de payer la rançon. 7 mois plus tard, il évalue le coût de l’après-attaque à plus de 8,1 millions de dollars, d’après un document relayé par la journaliste de Fox News, Amy Simpson.
Dans le détail, la victime a déboursé 2 millions de dollars dans la réponse immédiate à l’incident. Ces frais couvrent l’enquête sur l’origine de l’attaque, la négociation avec les cybercriminels, l’achat de logiciels de cybersécurité ou encore la communication de crise. Le réseau d’écoles note que ces dépenses seront « sûrement couvertes par l’assurance ».
En revanche, les 5 millions de dollars alloués aux « coûts de restauration plus large » ne seront pas pris en charge. On y retrouve plusieurs prestations liées à la restauration de différents outils, dont 2 millions de dollars pour la restauration du progiciel de gestion intégré (ou ERP en anglais). Ce logiciel contient des outils pour la gestion des ressources humaines ou encore pour la gestion comptable et financière.
Le montant est tout de même à nuancer : une partie des coûts s’apparente plutôt à un coût en investissement dans de nouveaux systèmes de sécurité. Des dépenses nécessaires même en cas de paiement de la rançon.
Deux choix : payer ou payer
Lorsqu’une entreprise découvre que son système informatique a été touché par un rançongiciel, deux options s’offrent à elle :
Payer les cybercriminels
Option numéro 1 : payer la rançon demandée par les malfrats pour qu’ils réparent les dégâts qu’ils viennent de causer. Le montant s’élève de quelques centaines de milliers de dollars à plusieurs dizaines de millions de dollars, et il peut être négocié.
En théorie, cette solution est déconseillée de façon quasi unanime par les autorités et experts, puisqu’elle consiste à faire confiance à des cybercriminels. Certains fournissent un outil de déchiffrement des données qui ne fonctionne pas correctement, d’autres réattaquent la victime quelques mois plus tard. Surtout, payer la rançon revient à rémunérer les hackers, et à indirectement financer leurs futures attaques. Et ce n’est pas tout : même si tout se déroule pour le mieux, l’entreprise devra payer des prestations pour vérifier et renforcer son réseau.
En pratique, la plupart des recherches s’accordent pour estimer que plus de 50 % des victimes paient. Elles espèrent que leur système redémarrera au plus vite afin d’éviter d’alourdir les coûts du ralentissement de la production. Elles veulent aussi éviter que l’attaque fasse grand bruit, ce qui pourrait endommager leur réputation et donc leur carnet de commandes. À titre d’exemple, les deux attaques les plus médiatisées dernièrement, celles subies par Colonial Pipeline et par JBS, ont mené à des paiements de 5 millions et 11 millions de dollars. Les entreprises ont ainsi pu reprendre leur activité à peine quelques jours après le déclenchement de l’attaque.
Payer la restauration du système
Option numéro 2 : restaurer son réseau à partir des sauvegardes. Pour commencer, toutes les victimes n’ont pas cette option, car certains rançongiciels parviennent à infecter les sauvegardes. Ensuite, les cybercriminels utilisent tout un ensemble de menaces supplémentaires — du chantage à la fuite de données à des campagnes de harcèlement — en plus du rançongiciel lui-même. Si malgré cette pression, l’entreprise choisit tout de même d’ignorer le paiement, elle devra sortir le carnet de chèques, comme l’a fait le réseau d’écoles publiques de Baltimore. Selon l’architecture du système et la qualité du système de sauvegarde, le processus de restauration peut prendre de plusieurs jours à plusieurs mois.
Si les écoles de Baltimore estiment à plus de 8 millions de dollars les coûts de la remédiation à l’incident, elles ne comptent pas celui de l’arrêt d’activité lié à l’attaque, qui peut faire exploser la facture. Par exemple, l’entreprise de services numériques (ESN) française Sopra Steria, qui a subi une attaque en octobre 2021, a intégré les coûts de l’arrêt d’activité à son estimation. Résultat : elle aurait perdu entre 40 et 50 millions de dollars dans l’attaque.
Le montant de ces factures explique en partie pourquoi tant de victimes cèdent à la pression des cybercriminels, même si elles sont conscientes que le paiement de la rançon n’est pas la solution la plus éthique. Pour compliquer l’équation, le rôle des assureurs est régulièrement discuté ; certains couvrent le paiement de la rançon, mais ne couvrent pas l’intégralité des frais de restauration.
Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !
