Etude Cohesity : la plupart des entreprises paient des millions en rançons, malgré leur politique de « non-paiement »
février 2024 par Cohesity
Une étude commanditée par Cohesity révèle que l’omniprésence des cyberattaques obligerait la majorité des entreprises à payer des rançons, enfreignant leur propre politique de « non-paiement ». Ce phénomène serait par ailleurs accentué par des lacunes récurrentes en matière de restauration des données. L’étude menée auprès de plus de 900 décideurs IT et sécurité montre que les entreprises ne se posent plus la question de savoir « si », mais « quand » elles se feront attaquer. L’étude révèle également que la plupart des entreprises ont payé une rançon au cours des deux dernières années, et qu’une majorité s’attend à ce que la menace cyber augmente considérablement en 2024.
Fait alarmant, près de 8 répondants sur 10 (79 %) ont déclaré que leur entreprise avait été victime d’une attaque par ransomware entre juin et décembre. Le paysage de la menace cyber devrait encore s’aggraver en 2024, 96 % des personnes interrogées affirmant que la menace des cyberattaques pour leur secteur d’activité augmentera cette année, et plus de 7 sur 10 prévoyant une augmentation de plus de 50 %.
La surface d’attaque d’une organisation est définie par la taille, la complexité et la portée de ses environnements de gestion des données. 78 % des répondants ont déclaré que les risques liés à la sécurité des données ont augmenté plus rapidement que la croissance des données elles-mêmes. Les personnes interrogées estiment également que leurs stratégies de cyber-résilience et de sécurité des données ne sont plus adaptées au paysage actuel des menaces, 21 % seulement ayant pleinement confiance dans la stratégie de cyber-résilience de leur entreprise et dans sa capacité à « faire face à l’évolution des défis liés aux menaces cyber ».
La lenteur de la restauration des données et le manque de cyber-résilience entraînent le paiement de rançons
La cyber-résilience est devenue l’épine dorsale de la continuité des activités. Elle définit la capacité des entreprises à restaurer leurs données et à rétablir leurs processus opérationnels lorsqu’elles sont victimes d’une cyberattaque ou d’un incident.
L’étude souligne l’ampleur des défis en matière de cyber-résilience :
• Tous les répondants de l’étude ont déclaré avoir besoin de plus de 24 heures pour restaurer leurs données et rétablir leurs processus métier.
• Seulement 7 % ont déclaré que leur entreprise pouvait restaurer les données et rétablir les processus opérationnels dans un délai de 1 à 3 jours.
• 35 % ont déclaré pouvoir restaurer en 4 à 6 jours, et 34 % ont besoin de 1 à 2 semaines pour le faire.
• De manière alarmante, près d’une entreprise sur quatre (23 %) a besoin de plus de 3 semaines pour restaurer ses données et rétablir ses processus métier.
Preuve supplémentaire des lacunes en matière de cyber-résilience, à peine 12 % ont déclaré que leur entreprise avait procédé à des tests de résistance de leurs processus ou solutions de sécurité, de gestion et de restauration des données au cours des six mois précédant l’enquête, et 46 % n’ont pas testé leurs processus ou solutions depuis plus de 12 mois.
À la lumière de ce constat, il apparaît finalement peu surprenant que 94 % des répondants déclarent que leur entreprise paierait une rançon pour restaurer les données et rétablir les processus opérationnels en cas d’attaque réussie ; 5 % ont répondu « peut-être, en fonction du montant de la rançon ». Plus de 2 répondants sur 3 (67 %) ont déclaré que leur entreprise serait prête à payer plus de 3 millions de dollars de rançon pour restaurer leurs données et récupérer leurs processus opérationnels, et 35 % plus de 5 millions de dollars. L’étude souligne par ailleurs un paradoxe important : 9 répondants sur 10 ont déclaré que leur entreprise avait payé une rançon au cours des deux années précédentes, alors que 84 % d’entre elles avaient mis en place une politique de « non-paiement ».
« Les organisations ne peuvent pas contrôler l’augmentation du volume, de la fréquence ou de la sophistication des cyberattaques telles que les ransomwares. Ce qu’elles peuvent contrôler, c’est leur cyber-résilience, c’est-à-dire leur capacité à réagir rapidement et à se remettre d’une cyberattaque ou d’une panne informatique, en adoptant des capacités avancées de sécurisation des données », a déclaré Brian Spanswick, RSSI et directeur de l’IT chez Cohesity. « Il n’est pas surprenant que la majorité des entreprises aient été touchées par des cyberattaques telles que les ransomwares. Ce qui est alarmant, c’est que 90 % d’entre elles ont payé une rançon, enfreignant ainsi leur propre politique de non-paiement, et que la plupart sont prêtes à payer jusqu’à 3 millions de dollars de rançon parce qu’elles ne peuvent pas récupérer leurs données, ou ne peuvent pas le faire assez rapidement. »
La direction générale devrait porter la responsabilité des risques liés à la sécurité des données
L’étude révèle deux axes d’amélioration possibles : la sensibilisation et la responsabilisation des dirigeants en matière de sécurité des données, puisque seulement 35 % des répondants déclarent que leurs supérieurs et dirigeants comprennent parfaitement « la gravité des risques et les défis quotidiens liés à la protection, à la sécurisation, à la gestion, à la sauvegarde et à la restauration des données ». Quatre répondants sur cinq ont déclaré que la direction générale et les conseils d’administration devraient partager la responsabilité de la stratégie de sécurité des données de leur entreprise, tandis que 67 % ont déclaré que le DSI et le RSSI de leur entreprise pourraient être mieux alignés.
Les plus grandes inquiétudes concernant les conséquences d’une violation de données ou d’une cyberattaque réussie sont, par ordre d’importance : une atteinte à la réputation de la marque (34 %), une baisse du cours de l’action, des investissements ou de la rentabilité (31 %), un impact direct sur le chiffre d’affaires (30 %) et une perte de confiance de la part des parties prenantes (30 %). À la question de savoir qui est le plus touché par une violation de données ou une cyberattaque, les personnes interrogées ont répondu que les clients existants (29 %), l’équipe de sécurité (29 %), l’équipe informatique (28 %), les employés (28 %) et leurs partenaires tiers (27 %) étaient les plus touchés.
« La cyber-résilience et la sécurité des données devraient être une priorité organisationnelle holistique, car chaque fonction et chaque employé utilise les données et les systèmes d’information. Les graves conséquences d’une cyberattaque réussie ou d’une violation de données sur la continuité de l’activité, le chiffre d’affaires, la réputation et la confiance suffisent à empêcher les dirigeants d’entreprise, les responsables informatiques et les responsables de la sécurité de dormir », a déclaré Sanjay Poonen, PDG de Cohesity. « Pour répondre rapidement aux cyberattaques, les organisations ont besoin de solutions de sécurité et de gestion des données alimentées par l’IA, qui protègent leurs données, détectent lorsqu’elles sont attaquées et les restaurent le plus rapidement possible pour rétablir leurs processus opérationnels. »
La réglementation n’incite pas les entreprises à adopter de meilleures pratiques en matière de sécurité des données
Malgré les efforts constants des gouvernements et des institutions publiques pour encourager les meilleures pratiques en matière de cybersécurité et de gestion des données, seulement 46 % des personnes interrogées déclarent que les réglementations stimulent les initiatives de leur entreprise en matière de sécurité, de gestion ou de restauration des données.