Cybersécurité : quand les utilisateurs passent à la caisse – le coût des attaques

La sécurité nécessite des investissements importants

Il y a quelques années, les RSSI et RSO se posaient souvent la question du ROI des dépenses en sécurité. Comment prouver auprès des DSI et autres CEO que la sécurité nécessite des investissements importants. Aujourd’hui les réponses à cette question se chiffrent en millions d’euros ou dollars, et les exemples sont nombreux.

Crypto Locker

A titre d’exemple récent, l’impact financier pour Altran de l’attaque de ses systèmes informatiques par un ransomware « crypto locker », intervenue en janvier 2019 et qui a affecté les opérations du Groupe dans plusieurs pays européens, a été estimé à 20 Millions d’euros, incluant le paiement par l’entreprise victime de la rançon. Car d’après différentes sources et parutions, la société n’ayant pas suivi les recommandations des autorités (l’ANSSI et l’ensemble des experts en sécurité exhortent à ne jamais payer de rançon) aurait décidé de payer 300 bitcoins (soit environ 1 Million d’euros). A-t-elle obtenu en échange la clé de déchiffrement ? Le mystère reste entier…

Norsk Hydro

A noter que plus récemment, en mars, le groupe norvégien Norsk Hydro, un des plus grands producteurs d’aluminium en Europe, a subi une cyberattaque, probablement du même ransomware LockerGoga que celui de l’attaque d’Altran. De nombreuses usines ont été touchées. Dans ce cas, le groupe norvégien a fait preuve d’une exemplaire transparence, communiquant immédiatement sur l’attaque et régulièrement sur les actions en cours. Le coût annoncé est d’environ 40 Millions de dollars, soit environ 36 Millions d’euros.

NotPetya

Ce coût est cependant loin de l’impact de l’attaque NotPetya subie en 2017 par le Groupe Saint-Gobain, qui lui a coûté la somme record d’environ 80 Millions d’euros. L’étendue des coûts est cependant difficile à estimer : s’agit-il du chiffre d’affaires perdu car les SI étaient inaccessibles et la production à l’arrêt, ou de pertes directes dues aux coûts de matériels et services pour le nettoyage et la remédiation des systèmes, etc.

Un coût moyen à 11 Millions de dollars en France 

Une récente étude du Ponemon Institute de mars 2019 et présentée au Forum de Davos, souligne l’explosion des coûts financiers liées aux cyberattaques (source Les Echos). L’étude a estimé le coût moyen à 11 Millions de dollars en France, 27 Millions de dollars aux Etats-Unis et environ 13 Millions de dollars au Japon et en Allemagne. Donc, une moyenne autour de 11 à 13 Millions dollars en Europe et Japon versus plus que le double pour les USA.

Cela dénote une maturité du marché US autant en attaques qu’en dépenses, avec une ‘’facilité’’ de dépense sur les sujets de la sécurité informatique, mais aussi un marché fortement actif avec de nombreux acteurs éditeurs de solutions et prestataires de services. Les mêmes qui sont actifs à la conquête du marché européen… La société américaine est plus habituée aux sujets cyber, aux dépenses, à la cyber assurance, au marché foisonnant de la cybersécurité, etc.

Selon le même Institut, le coût des cyber-sinistres a cru en moyenne entre +23% en France à +30% aux Etats-Unis sur la période 2017-2018. Une croissance forte qui s’explique notamment par la dépendance quasi-totale des activités des entreprises au digital et la numérisation des échanges B2B, et B2C aussi.