On l’a tous compris, en sécurité la question n’est pas, est-ce qu’une organisation va être attaquée mais quand. Avec la multiplication des annonces d’attaques et d’incidents et la transparence, en partie et dans certains cas, imposée par le cadre RGPD, la question du coût des incidents est devenue d’actualité.
Cybersécurité : quand les utilisateurs passent à la caisse – le coût des attaques
La sécurité nécessite des investissements importants
Il y a quelques années, les RSSI et RSO se posaient souvent la question du ROI des dépenses en sécurité. Comment prouver auprès des DSI et autres CEO que la sécurité nécessite des investissements importants. Aujourd’hui les réponses à cette question se chiffrent en millions d’euros ou dollars, et les exemples sont nombreux.
Crypto Locker
A titre d’exemple récent, l’impact financier pour Altran de l’attaque de ses systèmes informatiques par un ransomware « crypto locker », intervenue en janvier 2019 et qui a affecté les opérations du Groupe dans plusieurs pays européens, a été estimé à 20 Millions d’euros, incluant le paiement par l’entreprise victime de la rançon. Car d’après différentes sources et parutions, la société n’ayant pas suivi les recommandations des autorités (l’ANSSI et l’ensemble des experts en sécurité exhortent à ne jamais payer de rançon) aurait décidé de payer 300 bitcoins (soit environ 1 Million d’euros). A-t-elle obtenu en échange la clé de déchiffrement ? Le mystère reste entier…
Norsk Hydro
A noter que plus récemment, en mars, le groupe norvégien Norsk Hydro, un des plus grands producteurs d’aluminium en Europe, a subi une cyberattaque, probablement du même ransomware LockerGoga que celui de l’attaque d’Altran. De nombreuses usines ont été touchées. Dans ce cas, le groupe norvégien a fait preuve d’une exemplaire transparence, communiquant immédiatement sur l’attaque et régulièrement sur les actions en cours. Le coût annoncé est d’environ 40 Millions de dollars, soit environ 36 Millions d’euros.
NotPetya
Ce coût est cependant loin de l’impact de l’attaque NotPetya subie en 2017 par le Groupe Saint-Gobain, qui lui a coûté la somme record d’environ 80 Millions d’euros. L’étendue des coûts est cependant difficile à estimer : s’agit-il du chiffre d’affaires perdu car les SI étaient inaccessibles et la production à l’arrêt, ou de pertes directes dues aux coûts de matériels et services pour le nettoyage et la remédiation des systèmes, etc.
Un coût moyen à 11 Millions de dollars en France
Une récente étude du Ponemon Institute de mars 2019 et présentée au Forum de Davos, souligne l’explosion des coûts financiers liées aux cyberattaques (source Les Echos). L’étude a estimé le coût moyen à 11 Millions de dollars en France, 27 Millions de dollars aux Etats-Unis et environ 13 Millions de dollars au Japon et en Allemagne. Donc, une moyenne autour de 11 à 13 Millions dollars en Europe et Japon versus plus que le double pour les USA.
Cela dénote une maturité du marché US autant en attaques qu’en dépenses, avec une ‘’facilité’’ de dépense sur les sujets de la sécurité informatique, mais aussi un marché fortement actif avec de nombreux acteurs éditeurs de solutions et prestataires de services. Les mêmes qui sont actifs à la conquête du marché européen… La société américaine est plus habituée aux sujets cyber, aux dépenses, à la cyber assurance, au marché foisonnant de la cybersécurité, etc.
Selon le même Institut, le coût des cyber-sinistres a cru en moyenne entre +23% en France à +30% aux Etats-Unis sur la période 2017-2018. Une croissance forte qui s’explique notamment par la dépendance quasi-totale des activités des entreprises au digital et la numérisation des échanges B2B, et B2C aussi.
Téléchargez cette ressource
Travail à distance – Guide complet pour les Directions IT et Métiers
Le travail à distance met à l'épreuve la maturité numérique des entreprises en termes de Cybersécurité, d'espace de travail, de bien-être des collaborateurs, de communication et gestion de projet à distance. Découvrez, dans ce nouveau Guide Kyocera, quels leviers activer prioritairement pour mettre en place des solutions de travail à domicile efficaces, pérennes et sécurisées.
L’impact d’une cyberattaque sur une PME peut être meurtrier !
Et pourtant des actions structurées et régulières peuvent fortement freiner, voire diviser par deux le coût des attaques. Avoir une politique de suivi et remédiation des vulnérabilités de tous les nœud IP de l’entreprise est juste un exemple, une action basique encore peu suivie mais tellement utile.
Estimer le coût des attaques est plutôt une démarche compliquée. Il faut d’abord estimer les coûts directs : arrêts des services, perte de chiffre d’affaires, appels aux experts en forensic et remédiation, coût des solutions à déployer, mise en place des outils et équipes internes ou externes d’exploitation et de surveillance (les fameux CyberSOC), etc. A ces coûts directs s’additionnent les coûts indirects liés au vol de données et aux dégâts subis par les clients de l’entreprise victime, la perte de réputation, les attaques sur les entreprises liées.
Nous observons d’ailleurs que les attaques se concentrent de plus en plus sur les acteurs plus petits travaillant pour les grands. Attaquer des cabinets d’avocats ou d’expertise comptable, attaquer des prestataires start-up d’applis dans le cloud pour voler des données de leurs grands clients, attaquer des études notariales pour voler les bases de clients et de données personnelles sensibles, est souvent plus simple qu’attaquer les gros.
En cybersécurité les besoins fonctionnels de sécurisation et de protection pour une grande entreprise ou une PME sont les mêmes. Mais pas les moyens ! Cliquez pour tweeter
Altran, par exemple, est un important sous-traitant de beaucoup d’entreprises dans l’automobile, la recherche, l’industrie de pointe, les télécoms, etc. ; une des explications possibles du ciblage de l’attaque. D’ailleurs selon l’Express, le groupe a déposé plusieurs plaintes pour protéger ses clients dont Airbus, lui-même victime d’une cyberattaque.
Mais, attention l’impact d’une cyberattaque sur une PME peut être bien plus meurtrier et définitif que pour une grande entreprise, dont l’organisation, les équipes, les structures, indépendamment de ses capacités financières, permettent une résilience naturelle plus forte.