Les entreprises de la région EMEA qui versent une rançon sont de moins en moins nombreuses, mais demeurent mal préparées face aux cyberattaques. Si le nombre d’entreprises ayant payé une rançon a diminué de 22 % en un an, 63 % d’entre elles seraient toujours dans l’incapacité de se remettre d’une attaque touchant l’ensemble de leur site faute d’avoir mis en œuvre un plan d’infrastructure de secours.
Etude Veeam Software – Leader en parts de marché dans le domaine de la résilience des données, Veeam Software a comparé les données régionales des éditions 2024 et 2025 de son Ransomware Trends Report qui s’appuient sur les conclusions de l’année précédente pour explorer les tendances à long terme concernant les attaques de ransomware et la résilience des données dans la région EMEA. Selon les données géographiques analysées, le nombre d’entreprises ayant payé la rançon demandée a diminué de près d’un quart (22 %) par rapport à l’année précédente. Cette conclusion ne signifie toutefois pas nécessairement que les entreprises essuient moins d’attaques, mais indique a contrario que leur capacité de résilience des données s’améliore et que leur attitude vis-à-vis de la négociation avec les cyberattaquants est en train d’évoluer.
Payer la rançon permet de moins en moins de récupérer les données
Cette étude comparative montre clairement que les entreprises parviennent de façon croissante à récupérer leurs données sans payer la rançon exigée. C’est ce qu’il s’est passé pour 30% des entreprises en 2024, contre seulement 14% en 2023. Dans le même temps, il apparaît de plus en plus que le versement d’une rançon ne garantit en aucun cas à l’entreprise qu’elle récupérera ses données. En 2023, plus de la moitié (54 %) des entreprises de la région EMEA ayant répondu favorablement à la demande des cyberattaquants ont pu récupérer leurs données, un chiffre qui a sensiblement baissé en un an pour atteindre seulement 32 %, soit moins d’un tiers, en 2024.
« À l’heure où les cyberattaquants constituent un interlocuteur peu fiable pour récupérer des données et où les entreprises améliorent leurs capacités de récupération, il n’est guère surprenant de constater que le nombre de rançons versées est en baisse. Pour autant, cela ne signe pas la fin des menaces que représentent les ransomwares », a déclaré Tim Pfaelzer, senior vice-président et general manager EMEA de Veeam. « Les cyberattaquants s’adaptent en permanence. Nous constatons que certains renoncent totalement au chiffrement par ransomware et préfèrent voler des données pour extorquer directement de l’argent à leur propriétaire ou les revendre sur le marché noir. Pour d’autres, c’est la capacité de perturbation qui constitue la motivation principale, davantage que l’aspect financier. Et si les paiements diminuent, cela ne signifie pas que les attaques vont cesser. Comme le montrent clairement nos données, des lacunes importantes subsistent encore en matière de résilience des données, rendant les entreprises vulnérables. »
Des mesures de résilience des données manquantes
Suite à l’entrée en vigueur de plusieurs règlementations européennes visant à accroître la résilience des données (DORA pour les services financiers et NIS2, par exemple), les entreprises prennent des mesures pour mieux anticiper les attaques de ransomwares. Mais elles ne peuvent se permettre de rester dans l’expectative, et le chemin à parcourir est encore long.
En 2024, seules 37 % des entreprises de la région EMEA avaient mis en place une infrastructure de secours, ce qui signifie que 63 % ne l’ont toujours pas fait. En cas d’attaque touchant l’ensemble de leur structure, les entreprises qui ne se sont pas dotées d’une seconde infrastructure ne pourront se rétablir tant que le site principal n’aura pas été déclaré « propre » — un délai qui, dans de nombreux cas, peut atteindre plusieurs semaines. Indépendamment du secteur, l’arrêt complet des activités pendant plusieurs semaines est une véritable catastrophe, tant sur le plan matériel que de l’image de marque. Selon plusieurs études récentes, une panne coûterait plus d’un million de livres sterling par heure d’indisponibilité selon la taille de l’entreprise. Rares sont celles qui peuvent supporter une telle charge.
« Il apparaît clairement que les entreprises ont placé la récupération des données au cœur de leur stratégie de résilience au lieu de compter sur le paiement d’une rançon, ce qui représente à n’en pas douter un pas dans la bonne direction. Toutefois, il leur reste encore beaucoup à accomplir », a ajouté Tim Pfaelzer. « La réglementation a peut-être élevé le niveau de résilience des données, mais les entreprises doivent aller plus loin, par exemple en se concentrant sur l’amélioration de la résilience élémentaire des données grâce à des infrastructures alternatives et à des sauvegardes robustes dans le but d’éliminer totalement la nécessité de payer une rançon. C’est ainsi qu’elles pourront améliorer la résilience de leurs données de manière à la fois durable et efficace. »
Les standards des entreprises en matière de résilience des données s’améliorent régulièrement. Parallèlement, les interventions policières telles que la fermeture très médiatisée de Lockbit perturbent également les attaquants de ransomware jusqu’à leurs racines. Cependant, il reste beaucoup à faire. Pour que la résilience soit totale, les entreprises doivent prioriser la mise en place de mesures de résilience des données en déployant une infrastructure alternative et en procédant à des sauvegardes sécurisées. Dans le cas contraire, lors de la prochaine attaque, elles ne verseront peut-être pas la somme demandée, mais elles ne pourront compter sur aucune solution pour redevenir pleinement opérationnelles.
