Pour le compte de Venafi, Sapio Research a interrogé plus de 1500 professionnels de la sécurité IT dans six pays ou zones géographiques, dont la France, sur leur perception des rançongiciels. Les réponses témoignent du très haut niveau de préoccupation des répondants, 60% considérant que les ransomwares sont une menace de même niveau que le terrorisme (58% en France). Les autres chiffres sont tout aussi inquiétants. Ainsi, plus des deux tiers (67%) des personnes interrogées dans les organisations comptant plus de 500 collaborateurs ont subi une attaque par rançongiciel au cours des 12 derniers mois. Dans les grandes structures (entre 3000 et 4999 salariés), cette proportion grimpe à 80%, mais les PME ne sont pas non plus épargnées, 60% des entreprises entre 100 et 500 employés ayant également connu de telles attaques.
Si globalement, les répondants sont plutôt confiants dans les capacités de protection mises en place dans leur entreprise (pour 77% d'entre eux), un écart se fait sentir entre la perception des RSSI (69% se déclarent confiants) et les répondants à des postes de direction (80%). Toutefois, les réponses montrent une grande hétérogénéité au niveau des outils et technologies mis en place. Les plus répandus sont ainsi les VPN (43%), les sauvegardes chiffrées (36%) et les systèmes anti-hameçonnage (35%), suivis par le scan de vulnérabilités (31%) et les contrôleurs de domaine sécurisés (29%).
Des rançons prêtes à être payées
En revanche, d'autres mesures plus spécifiques sont peu répandues, notamment sur la configuration des environnements de travail, alors même que beaucoup de ransomwares s'introduisent via l'hameçonnage. La limitation de l'exécution des macros au sein des documents MS Office ou les restrictions sur l'interface PowerShell via des stratégies de groupe, sont ainsi respectivement présentes chez 21% et 18% seulement des répondants. Par ailleurs, 28% seulement des sondés ont recours à la signature de code pour déterminer les applications ayant le droit de s'exécuter.
Interrogés sur le paiement éventuel d'une rançon, 37% des professionnels interrogés se disent prêts à payer la somme réclamée, mais plus de la moitié de ces derniers (57%) changeraient d'avis s'il fallait l'annoncer publiquement, montrant que les risques sur l'image de l'entreprise pèsent également lourd dans la balance. Dans les faits, 17% seulement parmi ceux ayant vécu une telle attaque ont confié avoir payé la somme exigée. Enfin, 22% des répondants considèrent qu'un tel paiement est une faute morale.
Commentaire