60%
des attaques observées par le CERT-Wavestone sont des ransomwares
90%
des victimes ont perdu irrémédiablement des données mais le paiement des rançons diminue
Des attaques de plus en plus rapides : un minimum de 3 jours et une moyenne de 25 jours entre l’intrusion et le blocage
A l’occasion du lancement du mois européen de la cybersécurité et pour les Assises de la Sécurité (du 13 au 16 octobre 2021), le cabinet Wavestone dévoile la nouvelle édition de son benchmark des incidents de cybersécurité. Pour cela, le cabinet a passé en revue les interventions de son équipe de gestion de crise le CERT-Wavestone entre septembre 2020 et octobre 2021.
Cela représente 60 incidents de sécurité majeurs ayant mené à l’interruption d’activités ou à une compromission avancée du SI et ce, dans des secteurs diversifiés : industrie, secteur public, agroalimentaire, technologies de l’information, finance, etc. L’objectif de ce benchmark est d’éclairer et de montrer l’évolution de l’état de la menace cyber en France, tout en partageant les clés pour une meilleure anticipation et réaction.
Une forte prépondérance des ransomwares dans le panorama des cyberattaques
Les ransomwares représentent 60% des cyberattaques rencontrées par le CERT-W chez nos clients. Toujours plus nombreux, les attaquants sont de plus en plus organisés et outillés pour mener des attaques toujours plus efficaces.
Gérôme Billois
Partner Cybersécurité
Les groupes de cybercriminels ont réussi leur transformation numérique et leur organisation en plateforme a permis de massifier et rendre plus efficace et rapide leur attaque
Au-delà du simple blocage du SI, la combinaison avec un vol de données devient de plus en plus présente. En effet, 30% des attaques ransomwares observées combinent le blocage du SI et le vol de données, ce dernier constituant un levier supplémentaire pour obtenir des gains financiers.
Des attaques ransomwares plus rapides et plus ciblées
Nous constatons une réduction du temps moyen entre l’accès initial et le déploiement du ransomware dans le système avec un minimum de 3 jours pour l’attaque la plus rapide et une moyenne de 25 jours sur les cas gérés. Les attaquants sont de plus en plus déterminés à nuire à leurs victimes. En effet, ils vont maintenant jusqu’à cibler et détruire les mécanismes de sauvegarde pour forcer le paiement de la rançon (21% des cas).
Nous constatons également que dans 90% des cas des données ont été perdues irrémédiablement. A noter, nous observons une baisse significative du paiement des rançons cette année (de 20% l’année précédente à 5% des cas). De multiples facteurs peuvent expliquer cette baisse, entre la meilleure compréhension du faible intérêt à payer (le paiement de la rançon n’accélérant en rien le temps de résolution de la crise), les actions de sensibilisation et de pression sur les intermédiaires de paiements par les différentes autorités.
D’autres types d’attaques sévissent toujours en toile de fond
La menace ransomware ne doit pas faire oublier les attaques de vols de données, de fraude et le gain de capacité d’attaques qui restent bien présentes (25%) même si celles-ci sont moins fréquentes.
En ce qui concerne les canaux d’accès pour s’introduire dans les systèmes, les principales portes d’entrée restent l’utilisation de comptes valides (23%), les emails frauduleux, phishing pour obtenir des informations (20%) et les services d’accès distants en utilisant des failles de sécurité ou des défauts de configuration (18%).
Comment ne pas être une cible facile ? Quelques conseils du CERT-W
56% des victimes n’avaient pas anticipé être la cible potentielle d’une cyberattaque. Elles n’étaient ni dotées d’un contrat de réponse à incident ni d’une cyber assurance et 42% des victimes n’avaient pas réfléchi à leur résilience en cas d’attaque.
Nicolas Gauchard
Responsable du CERT-Wavestone
Même si des actions diplomatiques et judiciaires ont permis d’affaiblir l’écosystème cybercriminels, il ne s’agit pas de stopper les efforts, il faut se préparer dès maintenant grâce à des actions simples à mettre en place.
Les actions les plus importantes sont connues :
- Identifier et protéger les systèmes et les données les plus critiques sans oublier les systèmes techniques comme l’Active Directory
- Améliorer l’efficacité de la détection des attaques avec un service spécialisé 24/7
- Savoir gérer une crise majeure en s’entrainant grâce à des exercices de gestion de crise
- Renforcer la sécurité des sauvegardes et s’entrainer à reconstruire en urgence
- Souscrire à une cyberassurance et un contrat auprès de service spécialisé en cas de crise
Insights liés
Gérôme Billois
Sleh-Eddine Choura
Henri du Périer
Salma Bennani
Othman Berrada
Jad Al Maoula DAHRI 
Nicolas Gauchard
Hugo Bérard