Le coût d’un ransomware

Petit descriptif du dispositif : mon établissement a fait le choix de la suite des solutions Trend, et nous sommes (presque) équipés de la casquette aux chaussettes : antivirus sur les postes de travail (OfficeScan), plus un module (Deep Discovery) dédié à l’inspection virale des flux VLAN (ceux qui hébergent les machines non protégeables tels certains appareils biomed), plus la passerelle SMTP avec inspection virale intégrée (IMSVA), plus le module spécifique à la détection des crytomalwares connecté à la passerelle SMTP (DDAN), plus d’autres modules non pertinents ici.

Lorsque l’on veut comparer les coûts, toute la question est de savoir sur quel dénominateur on se base : le PC, l’utilisateur, le malware ? Là, j’ai choisi de diviser le coût total de chaque module sur une durée de trois ans (investissement plus exploitation) par le nombre de malwares qu’il élimine, ce qui me donne un coût au malware éliminé.

À ce petit jeu, OfficeScan remporte haut la main le concours : malgré son coût total sur trois ans (il vaut mieux que je ne vous dise pas combien, ça pique les yeux), cela nous donne un coût du malware de l’ordre de un euro, et quand on voit les volumes traités, cela fait froid dans le dos : la console de supervision centrale fournit de jolis camemberts toutes les semaines, je n’ose imaginer la durée de vie de notre SI sans cela : une heure ? Quelques minutes ? 

Le module DDAN (anti-cryptomalwares) est bon dernier, avec un coût au malware supérieur à 50 euros. Ce chiffre est toutefois à nuancer. D’abord, ce module a été positionné comme le dernier rempart, après que tous les autres ont fait leur job : normal que, pour aller chercher les dernières cochonneries qui traînent, cela coûte un bras. D’ailleurs, ce module éradique très peu de malwares chaque semaine (moins de 15). Ensuite, OK, cela peut paraître cher, mais combien coûte une rançon moyenne lorsque l’on s’est fait infecter, comme cet hôtel[1] qui a dû payer pour libérer les clients que le malware avait verrouillés dans leur chambre… De ce point de vue, le module est vite rentabilisé. Et, en sus de la rançon, il est très difficile de chiffrer la perte de productivité des utilisateurs dont les fichiers sont inaccessibles pendant des jours, voire davantage : quel coût horaire du cadre ou de l’agent ? Quelle perte en matière d’activité métier ?, etc. 

À noter que, depuis l’installation du module DDAN (je touche du bois), aucun crypto n’est venu chatouiller nos fichiers, donc la couverture estimée est proche de 100 %. Par contre, le coût global de la protection antivirale a explosé depuis trois ans, et c’est le genre de chiffre qui ne baisse jamais : à la louche, il faut (selon moi) situer le coût annuel d’une protection antivirale d’un gros établissement à un montant avoisinant 50 semaines en amoureux à Venise dans un super hôtel avec vue sur le canal. À peu près. Votre conjoint va être vert.

[1]   http://www.thelocal.at/20170128/hotel-ransomed-by-hackers-as-guests-locked-in-rooms