Le nombre d'entreprises attaqués par un ransomware et qui payent la rançon est toujours très élevé, constate Rubrik dans une étude. (Crédit Photo : DC Studio/Freepik)
La compromission des systèmes de sauvegarde et les menaces croissantes d'extorsion de données poussent les entreprises à payer les rançons selon une étude menée par Rubrik.
Malgré l'explosion des outils de cybersécurité et les très nombreuses campagnes de sensibilisation, les entreprises du monde entier continuent de céder aux attaques des ransomwares à un rythme alarmant. Selon une étude de Rubrik Zero Labs, 86 % des entreprises mondiales ont admis avoir payé des rançons à la suite d'une cyberattaque au cours de l'année écoulée. Ce chiffre met en évidence une dure réalité, à savoir qu'à l'étape de la restauration, et non de la prévention, la plupart des défenses s'effondrent encore. Ce constat est tiré du rapport 2025 de Rubrik intitulé « The State of Data Security : A Distributed Crisis », pour lequel l'entreprise a interrogé plus de 1 600 responsables informatiques et de la sécurité dans dix pays, dont les États-Unis, le Royaume-Uni, la France, l'Allemagne, l'Inde et Singapour. L'enquête révèle que même si les entreprises adoptent des infrastructures hybrides et multicloud pour accroître leur agilité, nombre d'entre elles restent fondamentalement mal préparées à se remettre d'une attaque de ransomware sans céder à l'extorsion.
Les systèmes de sauvegarde attaqués
L'un des principaux enseignements du rapport est que 74 % des entreprises reconnaissent que leur infrastructure de sauvegarde et de restauration est partiellement compromise, tandis que 35 % font état d'une compromission totale. Ce ciblage des systèmes de récupération est devenu une constante des campagnes modernes de ransomware. « Les attaquants se concentrent de plus en plus sur la neutralisation de l'infrastructure de sauvegarde avant de déployer le chiffrement », a rapporté Joe Hladik, directeur de Rubrik Zero Labs. « Les techniques utilisées comprennent le vol d'identifiants et l'escalade des privilèges grâce à des outils tels que Mimikatz, ou l'exploitation d'interfaces exposées qui proposent aux attaquants d'extraire des informations d'identification en clair. »
Toujours selon Joe Hladik, les pirates abusent également des API des logiciels de sauvegarde officiels pour supprimer ou modifier les snapshot, une technique observée dans les campagnes attribuées à des groupes comme FIN7 et ALPHV. « La reconnaissance automatisée est aussi de plus en plus courante », a ajouté le dirigeant. « Les attaquants cartographient les environnements de sauvegarde en utilisant l'énumération d'Active Directory et des outils comme SharpHound, et ils parviennent ainsi à désactiver en priorité les systèmes de récupération. »
Un déficit dans les politiques de sécurité
Même si elles ont accès à des solutions de cyber-résilience, y compris des sauvegardes immuables, du stockage air-gap et une restauration automatisée, les entreprises se retrouvent souvent prises au dépourvu après une attaque. Selon Joe Hladik, les raisons ne sont pas toujours techniques. « C'est encore l'une des dynamiques les plus frustrantes dans le domaine des ransomwares », a-t-il regretté. « Il peut y avoir des sauvegardes, mais les politiques de conservation, les contrôles d'accès ou les copies hors ligne sont souvent absents ou obsolètes. Même quand les sauvegardes sont disponibles, des processus de récupération lents ou complexes peuvent entraîner des temps d'arrêt inacceptables, ce qui pousse les dirigeants à opter pour le paiement de la rançon. » Celui-ci pointe également l'augmentation des tactiques de double extorsion, où les attaquants exfiltrent des données sensibles et menacent de les divulguer publiquement si la rançon n'est pas payée. « C'est la raison pour laquelle les entreprises doivent absolument comprendre que la résilience ne consiste pas seulement à disposer des bons outils.
Elles doivent aussi être prêtes à les utiliser sous pression. Les simulations et la validation de la restauration en fonction des accords de niveau de service doivent faire partie des pratiques courantes », a insisté le dirigeant. Même si la télémétrie de Rubrik ne collecte pas les montants des rançons, une étude récente de l'industrie citée par le rapport montre que la rançon moyenne payée dans le monde est d'environ 479 000 dollars, avec une médiane de 200 000 dollars. Mais ces chiffres peuvent grimper rapidement, en particulier dans des secteurs critiques comme la santé et les services financiers. « Rien qu'en Inde, la rançon moyenne a atteint 4,8 millions de dollars, et 62 % des incidents ont donné lieu à des demandes supérieures à 1 million de dollars. Cela montre clairement que les attaquants adaptent leurs demandes en fonction de la géographie, de l'industrie et de l'urgence perçue », a pointé M. Hladik.
Délais de rétablissement et pressions des dirigeants
L'urgence d'une restauration rapide est souvent à l'origine des décisions relatives aux rançons. Pour le patron de Rubrik Zero Lab, une réponse tardive est problématique, car elle donne aux attaquants la capacité de prendre le contrôle des systèmes. « Le temps d'interruption médian reste élevé dans de nombreux secteurs, souvent plus de 10 jours, ce qui laisse une bonne marge aux attaquants pour désactiver les défenses et empêcher le travail de sauvegarde », a-t-il expliqué.
Ces retards exacerbent les enjeux, en particulier dans les secteurs où les temps d'arrêt peuvent entraîner une surveillance réglementaire, une atteinte à la réputation, voire des changements de direction. Dans certaines régions, Rubrik a constaté une modification des dirigeants après une attaque ou l'implication accrue du conseil d'administration dans les décisions relatives à la cybersécurité.
L'identité comme principal vecteur d'attaque
Le rapport met également en évidence un changement dans le comportement des attaquants, la compromission de l'identité étant désormais le principal point d'entrée dans les incidents de ransomware. Selon les données télémétriques de Rubrik, les stratégies basées sur l'identité sont aujourd'hui à l'origine de près de 80 % de toutes les violations. L'accès des attaquants repose de plus en plus souvent sur des informations d'identification volées qui servent ensuite à escalader les privilèges et à se déplacer latéralement dans les environnements hybrides. Pour Ashish Gupta, directeur général de Rubrik India, il ne fait pas de doute que les systèmes d'identité, en particulier les anciennes implémentations d'Active Directory, sont devenues des cibles de choix.
« La plupart des grandes entreprises indiennes s'appuient fortement sur Microsoft Active Directory, non seulement pour l'authentification, mais aussi pour le DNS, le DHCP et l'ICP », explique-t-il. « Cette intégration profonde rend AD critique, et il est souvent le premier point d'entrée parce que la compromission de l'identité donne à l'attaquant une surface d'attaque très large. À l'échelle mondiale, cette dépendance à l'égard des systèmes d'identité existants est exploitée par des attaquants qui cherchent à identifier rapidement les mauvaises configurations et à repérer les retards dans les mises à niveau. »
Mieux se préparer à la reprise
Les conclusions de Rubrik suggèrent que pour réduire le paiement des rançons par les entreprises, il ne faut pas uniquement multiplier le nombre d'outils, mais aussi améliorer la préparation à la reprise après une attaque. Le rapport recommande en particulier d'isoler les systèmes de sauvegarde de l'accès au domaine, de sécuriser les API, de mettre en oeuvre une détection comportementale des anomalies et d'effectuer régulièrement des exercices de restauration en fonction des menaces. « Les entreprises doivent sécuriser les API de sauvegarde et limiter les voies d'escalade des privilèges », a préconisé M. Hladik. « Elles doivent également surveiller le comportement d'accès aux sauvegardes pour détecter les anomalies avant même que ne commence le chiffrement. »
Gupta pense également que la dette technique n'est pas le seul frein et que l'état d'esprit des dirigeants joue aussi un rôle. « Très souvent, les dirigeants ne sont pas convaincus de la nécessité d'investir dans une infrastructure et des logiciels axés sur la sécurité et fondés sur les principes de confiance zéro et ils doutent d'un retour sur investissement élevé, alors qu'en réalité, cette lacune crée une menace existentielle pour leurs entreprises », a-t-il déclaré. Les deux experts s'accordent à dire qu'il ne s'agit pas seulement d'acheter de nouvelles technologies, mais aussi de rétablir la confiance dans la récupération. Cela signifie qu'il faut mettre en oeuvre des sauvegardes immuables, sécuriser les API, détecter les anomalies dans l'accès aux sauvegardes et, surtout, valider chaque aspect du processus de récupération par des exercices en conditions réelles.
Suivez-nous