Payer représente à peine la moitié du coût de la rançon, prévient Sophos. Il arrive que des systèmes entiers doivent être reconstruits à partir de rien…

« Il faut parfois des années pour se remettre d’une attaque par ransomware ! L’incident est loin de concerner seulement le déchiffrement et la restauration des données. Le coût total peut donc être important », commente Chester Wisniewski, Field CTO, Sophos.

En effet, lorsque des entreprises ont versé une rançon en échange du déchiffrement de leurs données, le coût final de leur récupération a fini par doubler. En outre, le paiement d’une rançon a généralement pour effet d’allonger les délais de récupération : 45 % des entreprises ayant recouru à des sauvegardes ont récupéré leurs données en moins d’une semaine, contre seulement 39 % de celles ayant cédé au chantage.

Le coût de la rançon ne dit rien !

« C’est après le versement de la rançon que les compteurs commencent à s’affoler, continue Chester Wisniewski. Pour la plupart des victimes, le simple achat des clés de chiffrement ne permet pas de récupérer la totalité de leurs fichiers par le simple achat des clés de chiffrement. Il leur faut également les reconstituer à partir de sauvegardes. En payant la rançon, non seulement les entreprises enrichissent les criminels, mais elles ralentissent la réponse aux incidents et alourdissent la facture dans une situation déjà terriblement coûteuse. »

Quant aux entreprises qui paient, ce n’est en rien une garantie de pouvoir restaurer l’ensemble des données, insiste Chester Wisniewski. « La complexité liée à l’utilisation de clés de déchiffrement pour récupérer les informations est réelle. Ce qui revient à payer pour rien ! »

Quid de la perte de confiance 

Le calcul du préjudice est complexe. On voit que des systèmes entiers doivent être reconstruits à partir de rien. De même, il faut tenir compte des temps d’arrêt de l’activité, de l’impact pour les clients… « Le paiement forfaitaire de la rançon n’est que le début des coûts associés aux ransomwares. Les coûts d’indisponibilité varient aussi en fonction de la durée de l’indisponibilité et du nombre de personnes touchées. L’organisation doit également supporter des coûts supplémentaires liés aux heures supplémentaires nécessaires pour rétablir ses systèmes. Voire l’embauche de personnel IT supplémentaire pour restaurer le réseau et les systèmes et pour aider à rattraper le retard accumulé… »

Enfin, outre des coûts légaux, dont les poursuites judiciaires, l’un des plus difficiles à quantifier est celui de la perte de réputation. La perte de confiance entraîne souvent une perte de revenus.