Il s’agit de la seconde moitié d’une série en deux parties sur le coût des attaques par ransomware. Lisez la première partie, sur l’argent versé aux attaquants eux-mêmes, ici.
Aussi pénibles soient-ils, les paiements réels des ransomwares ne représentent qu’une petite fraction du coût d’une attaque. Les temps d’arrêt et la récupération sont beaucoup plus coûteux. Et ces coûts augmentent de façon exponentielle. Le rapport Global State of the Channel Ransomware de Datto a indiqué que les paiements de ransomware avaient augmenté de 94 % entre 2019 et 2020 seulement, et étaient 50 fois supérieurs à la rançon réelle.
Les conclusions du rapport State of Ransomware 2021 de Sophos étaient également sombres, bien que la différence ne soit pas aussi marquée. La rançon moyenne, selon les conclusions de Sophos, était de 170 000 $, tandis que le coût moyen d’une attaque dans l’ensemble était de 1,8 million de dollars. (Il convient de noter, cependant, que les moyennes peuvent ne pas être la meilleure mesure. Comme le souligne le chercheur principal de Sophos, Chester Wisniewski, les coûts varient considérablement en fonction de la taille de la cible. Les attaquants exploitent les entreprises pour des rançons de plusieurs millions de dollars, et les SMBS pour des rançons de plusieurs milliers de dollars.)
Pourquoi les temps d’arrêt font mal
Les coûts des temps d’arrêt découlent d’une multitude de problèmes : ralentissements de la production, retards d’expédition, détournement des ressources en personnel, efforts de remédiation, reconstruction de l’infrastructure informatique. Ces dépenses s’accumulent rapidement même sur de courtes périodes.
Le National Health Service (NHS) du Royaume-Uni a vu 19 000 rendez-vous annulés à la suite de l’attaque WannaCry en 2017, représentant en partie des pertes de 92 millions de livres sterling.
Brûler l’informatique au sol
Le rapport Ransomware de Cybereason : The True Cost to Business a révélé que les deux tiers des personnes interrogées ont perdu des revenus à la suite d’une attaque. Selon l’étendue de la couverture d’assurance cyber d’une organisation, bon nombre de ces coûts peuvent être payés directement. Même les polices les plus généreuses ne couvriront probablement pas les coûts de remplacement des équipements compromis et de mise en place de protocoles de sécurité plus récents et plus solides.
« Vous devez littéralement raser votre informatique et la reconstruire », déplore Wisniewski. «Des criminels errent dans votre système depuis des jours. Qui sait quelles portes dérobées ils ont laissées ?
« Le coût le plus élevé pour toute organisation est vraiment le coût pour refaire l’environnement au-delà de la récupération », déclare Roger Grimes, consultant en sécurité et architecte en cybersécurité chez KnowBe4 et auteur du Guide de protection contre les ransomwares. “Ils disent ‘Nous allons faire les choses correctement : nous allons reconstruire l’Active Directory, nous allons faire en sorte que tout le monde obtienne une authentification multifacteur et nous allons obtenir CrowdStrike [a cybersecurity platform].’ La plupart des compagnies d’assurance ne couvrent qu’une plage pour vous ramener là où vous étiez.
La reconstruction peut également entraîner des embauches supplémentaires, généralement non couvertes par l’assurance. « Les grandes entreprises peuvent décider qu’elles ont besoin d’une équipe rouge », suggère Grimes. Le coût moyen d’un engagement d’équipe rouge – dans lequel des professionnels de la sécurité attaquent votre infrastructure informatique et vous indiquent où se trouvent les faiblesses – est de 40 000 $. Ou il peut sembler impératif d’embaucher un nouveau responsable de la sécurité de l’information, dont le salaire se situe bien au nord de 200 000 $ par an.
Atteinte à la réputation
Bien que difficiles à quantifier, les dommages à la réputation créés par une attaque de ransomware peuvent être substantiels. Cybereason a constaté que 53% de ses répondants pensaient qu’ils avaient pris un coup à leur réputation suite à une violation. Seuls 17% des personnes interrogées par Datto ressentent la même chose.
Selon Arcserve, un tiers des clients prendraient probablement leurs affaires ailleurs s’ils étaient informés d’une attaque de ransomware dans laquelle leurs données ont été compromises. Près de 60 % le feraient s’il y avait deux perturbations ou moins.
Le rapport d’IBM classe cela dans les affaires perdues, à un coût moyen de 1,59 million de dollars. Après que la société de télécommunications TalkTalk a été touchée par une demande massive de ransomwares en 2015, elle a perdu plus de 100 000 clients.
« Il y a eu des cas où les dégâts étaient vraiment extrêmes », se souvient Grimes. « Un bon exemple est Travelex ». Le fournisseur de services de change a été touché par une cyberattaque dommageable en décembre 2019, qui a été aggravée par les fermetures d’aéroports en raison de COVID 19. En avril 2020, sa société mère l’a mis en vente en tant que marchandises endommagées, citant une baisse des revenus.
Pourtant, la plupart des entreprises ont tendance à se redresser, selon Grimes. « Dans l’ensemble, si vous regardez la plupart des entreprises un an plus tard, les revenus et les cours des actions sont en hausse », observe-t-il. Deux ans après sa rupture catastrophique en 2017, le cours de l’action Equifax était presque revenu à son niveau d’avant l’incident, par exemple.
Wisniewski est sceptique quant à savoir si les données compromises ont un effet à long terme sur la fidélité des clients. « Nous ne tenons même plus les entreprises pour responsables », dit-il. « À quel moment est-ce qu’on lève les mains en l’air et qu’on se dit ‘Je peux aussi bien me faire tatouer le nom de jeune fille de ma mère sur le front et continuer ma vie ?’ »
Pourtant, les têtes ont tendance à tomber à la suite d’une attaque, que les dirigeants du billot soient ou non responsables des vulnérabilités qui ont permis que cela se produise. “Les très gros ont tendance à provoquer un remaniement au niveau du conseil d’administration, ou au moins un remaniement au niveau C”, explique Wisniewski. « Les investisseurs exigent du sang. Les cadres supérieurs démissionnent souvent ou sont licenciés à la suite d’attaques de ransomwares. Voir Equifax, Uber et la société d’essais cliniques eResearchTechnology.
Amendes et frais juridiques
En plus des coûts déjà élevés, les victimes de ransomwares sont confrontées au spectre des amendes réglementaires. Alors que des amendes ont été imposées pour d’autres types de violations de données, les conséquences réglementaires des attaques de ransomware ne sont pas encore devenues un problème majeur. Pourtant, en 2020, l’Office of Foreign Assets Control (OFAC) du département du Trésor américain a émis un avertissement consultatif sur les conséquences financières potentielles des paiements à des entités sanctionnées. Et si un attaquant de ransomware divulgue également des données personnelles, l’organisation victime pourrait faire face à des amendes importantes en vertu des lois sur la confidentialité des données telles que la California Consumer Protection Act (CCPA) et le Règlement général sur la protection des données (GDPR) de l’UE.
« Vous devez vous assurer qu’il est légal de payer ce [attacker], car ils pourraient figurer sur la liste des personnes à ne pas payer du ministère du Trésor », prévient Grimes.
Plus préoccupants sont les frais juridiques liés au traitement des clients en colère dont les données ont été exposées. « Les attaques de ransomware causent bien plus de poursuites judiciaires que je ne me souviens avoir lu sur mes 34 ans de carrière », confie-t-il.
Des poursuites contre des victimes de ransomwares telles que Canon, qui ont vu l’exposition des données des employés en août 2020, sont en cours. Les coûts ultimes restent à voir. Si des poursuites récentes pour violation de données sont une indication, les cas de ransomware peuvent entraîner le paiement de frais juridiques aux avocats des recours collectifs, la couverture des services de protection de l’identité et de surveillance du crédit pour les plaignants, des dépenses obligatoires pour la protection des données et un éventail de dommages aux parties concernées.
Que lire ensuite :
Le coût d’une attaque de ransomware, partie 1 : la rançon
Évaluer la cyber-résilience et pourquoi c’est important
Le marché de la cyberassurance en flux
.
