Les entreprises continuent de payer les demandes de rançon en raison de systèmes de récupération compromis et de menaces de plus en extorsion des données.
Malgré une explosion dans les outils de cybersécurité et les campagnes de sensibilisation, les organisations du monde entier se rendent toujours aux attaquants de ransomware à un rythme alarmant. Selon de nouvelles recherches de Rubrik Zero Labs, 86% des organisations du monde entier ont admis avoir payé des demandes de rançon à la suite d’une cyberattaque au cours de la dernière année – un chiffre qui souligne une dure réalité: le rétablissement, pas la prévention, est l’endroit où la plupart des défenses s’effondrent.
Cette constatation provient du rapport de Rubrik en 2025, «L’état de sécurité des données: une crise distribuée», qui a interrogé plus de 1 600 dirigeants informatiques et de sécurité dans dix pays, dont les États-Unis, le Royaume-Uni, la France, l’Allemagne, l’Inde et Singapour. Le rapport a révélé que même si les entreprises adoptent une infrastructure hybride et multi-cloud pour stimuler l’agilité, beaucoup restent fondamentalement non préparés à se remettre des ransomwares sans céder à l’extorsion.
Systèmes de sauvegarde sous attaque
Un aperçu clé du rapport est que 74% des organisations ont déclaré que leur infrastructure de sauvegarde et de récupération était partiellement compromise, tandis que 35% ont déclaré un compromis complet. Ce ciblage des systèmes de récupération est devenu une caractéristique des campagnes de ransomware modernes.
« Les attaquants se concentrent de plus en plus sur la neutralisation des infrastructures de sauvegarde avant de déployer le cryptage », a déclaré Joe Hladik, chef de Rubrik Zero Labs. «Les techniques incluent l’escalade des vols et des privilèges à travers des outils comme Mimikatz, ou l’exploitation d’interfaces exposées qui permettent aux attaquants d’extraire des informations d’identification en texte clair.»
Hladik a ajouté que les acteurs de la menace abusent également des API des logiciels de sauvegarde légitimes pour supprimer ou modifier des instantanés – une technique observée dans les campagnes attribuées à des groupes comme FIN7 et AlphV.
« La reconnaissance automatisée est également de plus en plus courante », a déclaré Hladik. «Les attaquants cartographient les environnements de sauvegarde à l’aide de l’énumération Active Directory et des outils comme Sharphound, leur permettant de hiérarchiser les systèmes de récupération de désactivation.»
Pourquoi la rançon est-elle toujours payée?
Même avec l’accès à des solutions de cyber-résilience – y compris des sauvegardes immuables, un stockage à air et une récupération automatisée – les organisations se retrouvent souvent non préparées lorsqu’une attaque frappe. Selon Hladik, les raisons ne sont pas toujours techniques.
« Cela reste l’une des dynamiques les plus frustrantes du ransomware », a-t-il déclaré. «Les sauvegardes peuvent exister, mais les politiques de rétention, les contrôles d’accès ou les copies hors ligne sont souvent manquantes ou obsolètes. Même lorsque des sauvegardes sont disponibles, des processus de récupération lents ou complexes peuvent provoquer des temps d’arrêt inacceptables, les dirigeants de premier plan pour opter pour le paiement de la rançon.»
Il a également noté la montée des tactiques à double extorsion, où les attaquants exfiltrent les données sensibles et menacent de la divulguer publiquement si la rançon n’est pas payée.
«C’est pourquoi il est impératif que les organisations comprennent que la résilience n’ait pas seulement les bons outils. C’est la volonté opérationnelle de les utiliser sous pression. Les exercices de table et la validation de récupération dirigée par SLA doivent être une pratique régulière», a déclaré Hladik.
Alors que la propre télémétrie de Rubrik ne collecte pas les montants de rançon, Hladik a cité une récente étude de l’industrie montrant que la rançon moyenne payée dans le monde est d’environ 479 000 $, avec une médiane de 200 000 $. Mais ces chiffres peuvent grimper rapidement, en particulier dans les secteurs à enjeux élevés tels que les soins de santé et les services financiers.
« En Inde seulement », a ajouté Hladik, « la rançon moyenne a atteint 4,8 millions de dollars, avec 62% des incidents impliquant des demandes dépassant 1 million de dollars. C’est un signal clair que les attaquants adaptent les demandes en fonction de la géographie, de l’industrie et de l’urgence perçue. »
Calendrier de récupération et pression de leadership
L’urgence de récupérer rapidement entraîne souvent des décisions de rançon. Hladik a expliqué que la réponse retardée est un facteur critique pour permettre aux attaquants de dégénérer le contrôle des systèmes.
« Le temps de résidence médiane reste élevé pour de nombreux secteurs – souvent plus de 10 jours – donner aux adversaires suffisamment de temps pour désactiver les défenses et les emplois de sauvegarde », a-t-il déclaré.
Ces retards augmentent les enjeux, en particulier dans les industries où les temps d’arrêt peuvent entraîner un examen réglementaire, des dommages de réputation ou même des changements de leadership. Dans certaines régions, Rubrik a trouvé un modèle de rotation post-attaque C ou d’une implication accrue au niveau du conseil d’administration dans les décisions de cybersécurité.
L’identité comme vecteur d’attaque principal
Le rapport met également en évidence un changement dans le comportement de l’attaquant, avec un compromis d’identité émergeant comme le point d’entrée dominant dans les incidents de ransomware.
Selon la télémétrie de Rubrik, les stratégies basées sur l’identité conduisent désormais près de 80% de toutes les violations. Les attaquants ont de plus en plus accès en utilisant des références volées, augmentent les privilèges et se déplacent latéralement à travers les environnements hybrides.
Cette tendance est renforcée par Ashish Gupta, directrice générale de Rubrik India, qui a expliqué que les systèmes d’identité – en particulier les implémentations hérités d’Active Directory – sont désormais des objectifs principaux.
« La plupart des grandes entreprises en Inde comptent fortement sur Microsoft Active Directory, non seulement pour l’authentification, mais aussi pour DNS, DHCP et PKI », a déclaré Gupta. «Cette intégration profonde rend la publicité critique – et elle devient souvent le premier point d’attaque car le compromis d’identité donne à l’attaquant une surface d’attaque très large.»
À l’échelle mondiale, cette dépendance à l’égard des systèmes d’identité héritée est exploitée par des attaquants qui ne vont pas d’identifier les erreurs de configuration et les améliorations retardées.
Un changement stratégique vers la préparation à la récupération
Les résultats de Rubrik suggèrent que le chemin de la réduction des paiements de rançon ne réside pas seulement dans plus d’outils, mais dans une meilleure préparation. Cela comprend l’isolement des systèmes de sauvegarde de l’accès au domaine, la sécurisation des API, la mise en œuvre de la détection des anomalies comportementales et la réalisation d’exercices de récupération réguliers axés sur la menace.
«Les organisations doivent sécuriser les API de sauvegarde et restreindre les chemins d’escalade des privilèges», a déclaré Hladik. «Ils doivent également surveiller le comportement d’accès à la sauvegarde pour les anomalies avant le début du chiffrement.»
Gupta a ajouté que ce qui retient souvent les organisations n’est pas seulement la dette technique, mais aussi l’état d’esprit de leadership.
« Dans de nombreux cas, cela découle d’un manque de conviction de leadership que l’investissement dans l’infrastructure et les logiciels de la sécurité et les logiciels fondés sur des principes de confiance zéro entraîneraient un retour sur investissement élevé », a-t-il déclaré. «Quand en réalité, cet écart crée une menace existentielle pour leurs entreprises.»
La route à venir, les deux experts ont convenu, ne consiste pas seulement à acheter de nouvelles technologies – il s’agit de reconstruire la confiance dans la reprise. Cela signifie la mise en œuvre de sauvegardes immuables et à air, la sécurisation des API, la détection des anomalies dans l’accès à la sauvegarde, et surtout, validant tous les aspects du processus de récupération grâce à des exercices du monde réel.
