Combien coûte la cybercriminalité ?

La sécurité coûte cher. Mais une intrusion dans votre système peut peser bien plus lourd dans la balance.

HP et l’institut Ponemon réalisent chaque année une étude sur les coûts de la cybercriminalité. Et pour la première fois, un pan de cette étude s’intéresse spécifiquement aux entreprises françaises. Plus de 100 attaques informatiques dans 27 ETI et grandes sociétés ont été analysées à travers 168 entretiens avec les employés de ces organisations.

Et le moins que l’on puisse dire est que l’addition est salée. Le coût annuel moyen des cyberattaques dans les entreprises sondées s’élève à environ 3,9 millions d’euros avec un écart allant de 463 000 euros pour la moins impactée à 8,59 millions d’euros pour la société la plus durement touchée. Ces pertes sont la résultante d’une moyenne de 26 attaques menées avec succès chaque semaine dans ces entreprises. Ponemon prend ici en compte les attaques étant parvenues à percer les réseaux et systèmes informatiques critiques des compagnies. Parmi les six pays présents dans l’étude (Allemagne, Australie, États-Unis, France, Japon, Royaume-Uni), l’hexagone arrive donc en quatrième position en matière de coûts générés par la cybercriminalité.

(((IMG6537)))
Le coût total de la cybercriminalité dans les six pays étudiés.

Ces estimations comprennent les coûts directs et indirects d’une attaque : pertes et vols d’informations, perturbations des opérations métier, pertes de chiffre d’affaires, destruction de biens, d’installations ou d’équipements, mais aussi les sommes dépensées pour l’investigation autour de l’attaque, la détection précise des failles, la réponse aux incidents, le confinement et bien entendu, la restauration. « « Une fois que vous avez été piraté et que vous avez résolu le problème, il faut trouver la source de l’attaque et c’est là un des principaux enjeux », explique Frank Mong, Vice-président en charge des solutions de sécurité chez HP.

Et les plus petites entreprises du panel ne sont pas nécessairement celles qui ont le moins souffert de la cybercriminalité. D’après le rapport, le coût par salarié est effectivement bien plus important dans les petites organisations et s’élève à 1 448 euros en moyenne contre 143 euros pour les grandes institutions. « Que vous soyez une petite ou une grande entreprise, un million de dollars est un million de dollars », commente Frank Mong sur iTPro.fr.

(((IMG6538)))
Répartition des coûts par type d’attaque.

Les conséquences d’une intrusion sont fonction du type d’attaques menées. Botnets, déni de service ou phishing ne sont pas les menaces les plus coûteuses. Le podium est occupé par les attaques web, le triptyque virus/vers/trojans, et les malwares en troisième place. Ces trois menaces trustent 46 % de la somme dépensée par les entreprises et des pertes générées suite à une attaque réussie. L’étude s’intéresse également au temps nécessaire aux équipes IT pour contrer une attaque. En moyenne, la résolution du problème demande 26 jours, avec un coût estimé à plus de 10 000 euros par jour. Là encore, cette moyenne cache de grandes disparités. Si certaines attaques ont, en effet, pu être dénouées en seulement 24 heures, d’autres plus sophistiquées ont demandé jusqu’à 122 jours d’intervention. Et le travail n’était peut-être pas complètement terminé. « La résolution ne signifie pas nécessairement que l’attaque a été totalement stoppée, précise le rapport. Certaines restent dormantes et non détectées »

(((IMG6539)))
Économies réalisées selon la technologie de sécurité déployée.

La solution pour réduire les frais réside logiquement dans l’utilisation de produits de sécurité adaptés. Les économies réalisées peuvent être très significatives d’après les chiffres exposés par le Ponemon Institute. « Le paysage des menaces continue d’évoluer en même temps que les cyberattaques gagnent en complexité, poursuit Frank Mong. Pour la quatrième année consécutive, nous constatons les économies que les outils de sécurité et les bonnes pratiques de gouvernance peuvent apporter aux entreprises ». Les entreprises qui ont déployé des outils DLP (Data Loss Prevention) ont par exemple économisé plus d’un million d’euros. Mettre en oeuvre une gestion automatisée des politiques de sécurité peut également représenter une économie sur un an de 187 000 euros. Il est temps de parler de ROI.