Si les attaques de ransomware lancées contre les grandes entreprises peuvent rapporter gros à un cybercriminel, elles ne sont toutefois pas sans poser de sérieux défis. Fortes d’un logiciel de cybersécurité sophistiqué et entourées d’une équipe d’experts informatique ainsi que de consultants en sécurité, les entreprises sont munies d’outils et de ressources qui leur permettent d’empêcher les attaques de ransomwares et d’y répondre. Ce n’est cependant pas le cas des PME, et c’est pour cela qu’elles sont une cible de choix.
Pourquoi les PME sont vulnérables aux attaques de ransomwares ?
En cybersécurité, le mot d’ordre est la préparation. Pourtant, un rapport d’Infrascale révèle que 32 % des PME déclarent ne pas disposer du temps ni des ressources pour chercher des solutions contre les ransomwares, tandis que 32 % déclarent que leurs ressources informatiques sont déjà employées au maximum. Des conditions idéales pour un cybercriminel.
En outre, et toujours d’après Infrascale, 73 % des PME victimes d’attaques confient avoir versé une rançon. Ce chiffre, exceptionnellement élevé, agit comme une forte motivation pour les pirates. Un paiement de ransomware reste néanmoins la partie la plus simple, et la moins onéreuse, de l’attaque.
D’après le rapport de 2020 de Datto sur les attaques par ransomware, les temps d’inactivité coûtaient à une PME jusqu’à 274 000 $ en 2020, soit une augmentation de 94 % par rapport à l’année précédente. Les assurances cyber pouvant couvrir le paiement de la rançon, de nombreuses PME sont amenées à penser qu’il est facile de se remettre d’une attaque. Malheureusement, les attaquants ne tiennent pas toujours leur promesse de livrer les clés de chiffrement et, le cas échéant, elles sont souvent inutilisables. Enfin, les assurances cyber ne couvrent pas forcément toutes les pertes de l’entreprise, notamment celles associées aux temps d’arrêt.
Quand les croyances se confrontent à la réalité
D’après Datto, seuls 30 % des PME se disent préoccupées par les ransomwares, alors que 84 % des MSP se disent « très préoccupés ». Cet écart de perception laisse entrevoir la bataille que devront mener les MSP pour convaincre les PME de prendre au sérieux la menace des ransomwares. Sans compter que si un client PME subit une attaque de ransomware, il en incombe alors au MSP de gérer la menace.
En 2020, les MSP y employaient tout leur temps. Parmi eux, 60 % faisaient état d’une attaque de ransomware contre une PME, et 11 % comptaient plusieurs attaques le même jour, selon Datto. Ce sont les MSP d’Europe et d’Amérique du Nord qui signalent le plus grand nombre d’attaques, avec 85 % et 77 %, respectivement.
Le défi que doivent relever les MSP
D’après un sondage de ConnectWise, 43 % des PME sous-traitent leur cybersécurité en 2020. Alors que seulement 30 % des PME se disent préoccupées par les ransomwares, les MSP et MSSP doivent convaincre ces dernières qu’elles sont vulnérables. Et cette partie relève également du défi.
Le biais d’optimisme est un mécanisme psychologique qui amène une personne à croire qu’elle est moins exposée à un événement négatif que d’autres personnes. C’est ce « biais d’optimisme » qui pousse les PME à penser qu’elles ne sont pas exposées aux cyberattaques. Lors des entretiens commerciaux, elles soulèvent d’ailleurs bien souvent ces objections lorsque les MSP les incitent à investir dans la cybersécurité :
- L’entreprise est trop petite pour intéresser les pirates.
- La cybersécurité coûte trop cher.
- Rien susceptible de les intéresser.
Il est crucial de convaincre les PME qu’elles sont bien exposées aux attaques de ransomwares afin d’éviter ces attaques. Sans leur adhésion sur tous les fronts, la probabilité d’empêcher une attaque est faible. La technologie n’est qu’une partie de la solution. Lorsqu’un cybercriminel perce une défense de sécurité, et cela se produira, l’entreprise doit envoyer des renforts.
De la direction aux collaborateurs, chacun doit connaître le potentiel d’une attaque et recevoir la formation et l’assistance nécessaires pour agir de manière à régler le problème plutôt qu’à l’empirer. Les MSP n’ont donc pas seulement la responsabilité de protéger leurs clients, mais également de leur fournir la formation et les outils indispensables pour les sensibiliser à la cybersécurité et la maintenir à un niveau élevé.
Aucune entreprise, même petite, n’est à l’abri d’une attaque de ransomware. La cybersécurité représente un coût, mais un coût moindre qu’une attaque de ransomware réussie. Enfin, toute entreprise appartient aussi au monde numérique. Et dans ce monde, ce sont les données qui tiennent lieu de devise. Les PME, qui ne se voient pas comme une cible, sont victimes d’un biais d’optimisme qui fait d’elles des cibles extrêmement visibles et dont les défenses sont faciles à percer.