L’ampleur inédite du ransomware WannaCry, qui a impacté plus de 230.000 postes de travail dans 150 pays, implique des coûts directs, mais aussi des coûts indirects encore plus importants.
Des opérations non urgentes reportées dans de nombreux hôpitaux anglais et des usines bloquées, comme chez Renault à Sandouville ou en Slovénie, etc. Ce ne sont que quelques aspects médiatisés des effets dévastateurs de WannaCry. Ce ransomware n’a rapporté jusqu’à aujourd’hui que l’équivalent en Bitcoin de 115.000 dollars, selon le bot de comptage Twitter @actual_ransom qui affiche le total actualisé des sommes versées par les organisations et entreprises.
La rançon, objet principal des attaques, n’est que la partie émergée et relativement faible des dégâts causés par ce type de malware. Le cabinet Deloitte a listé dans une étude l’étendue des coûts directs et indirects des attaques. Parmi les coûts financiers les plus connus figurent notamment les frais de sécurisation des données clients après l’incident, ceux de la mise en conformité réglementaire, les honoraires des avocats et frais de justice, l’amélioration des dispositifs préventifs de cybersécurité, le coût des enquêtes techniques.
Concernant les coûts indirects, la partie immergée des dommages, l’étude évoque l’augmentation des primes d’assurance, celle du coût de la dette, les impacts dus à la perturbation ou à l’interruption des activités, la perte de la confiance accordée par les clients. Pour d’autres organisations, il s’agit de l’érosion du chiffre d’affaires, liée à la perte de contrats ou, encore, de la dépréciation de la valeur de la marque. Il est difficile de chiffrer ces coûts indirects qui sont très certainement plus importants à terme que les conséquences directes des attaques.
Les dommages liés à la découverte tardive des failles
« La durée de découverte d’une attaque est aujourd’hui de 205 jours. Durant cet intervalle de temps des vols de données se produisent à l’insu des organisations, » rappelle Olivier Mirtin, responsable grands comptes de l’éditeur de solutions de sécurité Fortinet.
L’aspect médiatique des demandes de rançon est souvent mis en avant, mais occulte le fait qu’il fait suite à une intrusion des systèmes d’information qui peut avoir eu lieu longtemps avant le cryptage des données ou l’arrêt des activités. Durant ce laps de temps souvent très long, beaucoup de dommages aux conséquences lourdes sont supportés par les organisations et les entreprises. Ces attaques mettent l’accent sur les défaillances des systèmes de protection.
« Dans beaucoup d’entreprises, les systèmes, outils et logiciels sont parfois très anciens. Par exemple, il existe encore des applications développées en Java pour la comptabilité, mais le coût de renouvellement des systèmes est trop important pour les entreprises et elles ne font rien. Tôt ou tard, elles se font pirater. Les services de sécurité installent des correctifs qui posent d’autres problèmes. Lorsque les solutions ne marchent pas lors des tests, ils ouvrent le réseau et les failles ne sont pas corrigées » explique Jérôme Segura, chercheur en sécurité chez Malwarebytes. La route est longue pour limiter les dommages causés par les ransomwares et autres nuisances.
