Augmente l’impact financier de la sécurité informatique sur les entreprises

0
Pendant 2016, Kaspersky Lab a mené avec la collaboration de B2B International une étude internationale auprès de plus de 4000 représentants d’entreprise dans 25 pays pour étudier le budget que les entreprises allouent à la sécurité informatique, la complexité de leur infrastructure, leur attitude envers les incidents de sécurité et leurs solutions, ainsi que le coût réel des vols de données et des incidents de sécurité. Ce rapport, concentré sur l’aspect financier de la cybersécurité, à pour but montrer comment les entreprises font face aux nouveaux défis de la sécurité numérique, combien dépensent pour se protéger ainsi que pour réparer les dégâts d’un incident informatique.
Il ne fait aucun doute que la sécurité informatique est en train de devenir une priorité essentielle pour les entreprises, tandis que leur dépendance à des technologies complexes ne cesse d’augmenter. C’est pour cela que parmi les conclusions principales de cette enquête destaquent :

L’augmentation des dépenses en sécurité informatique

42% des PME partagent cet avis, seulement 24% des TPE considèrent la complexité comme l’une des principales raisons pour augmenter leur budget alors que 35% de ces dernières considèrent les nouvelles activités ou la croissance de ses activités comme la raison principale. Bien qu’ils trouvent difficile de démontrer à leur direction le RSI que peut engendrer l’investissement dans la sécurité informatique, les entreprises de toutes tailles sont d’accord sur le fait qu’elles continueront à améliorer leur sécurité informatique, peu importe le RSI, car elles considèrent qu’il vaut mieux prévenir que guérir.
En effet, les dépenses annuelles consacrées à la sécurité varient de 1000 dollars pour les très petites entreprises à plus d’un million de dollars pour les grandes entreprises. De la même façon, le coût moyen pour réparer les dégâts d’un seul incident informatique est estimé à 86 500 dollars pour les PME et à 861 000 dollars pour les grandes entreprises. Mais les budgets dédiés à la sécurité informatique devraient augmenter de 14% en moyenne dans les trois prochaines années.
graphic1
L’étude montre, d’autre part, que seulement au cours des 12 derniers mois, plus d’un tiers des entreprises (38%) a été infecté par un virus ou un malware engendrant une perte de leur productivité et a observé un mauvais usage des ressources informatiques par ses employés (36%). Une entreprise sur cinq (21%) a perdu des données ou a vu ses données exposées après une attaque ciblée.
Les types d’attaque les plus chers sont les vols de données utilisant des vulnérabilités zero-day et les attaques ciblées. Mais les attaques affectent différement aux entreprises: les PME souffrent beaucoup des exploitations d’appareils mobiles alors que les grandes entreprises dénoncent l’impact important de l’hacktivisme.
Pour les incidents soufferts par les entreprises, près de la moitié (43%) ont entraîné un vol de données, une perte ou une exposition quelconque. Pour remettre les choses dans leur contexte, l’impact financier moyen d’un seul vol de données pour une PME est estimé à près de 86 600 dollars et pour les grandes entreprises à la somme effarante de 861 000 dollars. Selon  l’étude, le temps que le personnel informatique consacre à ces incidents représente le coût supplémentaire le plus important aussi bien pour les PME que pour les grandes entreprises.

L’impact financier moyen d’un vol de données

windows-10-donnees-personnelles

Kaspersky a demandé aux entreprises de diviser les frais entraînés par un vol de données en plusieurs catégories afin de mieux en estimer l’impact général, en sachant que dans la plupart des cas, les coûts entraînés ne consistent pas seulement à employer plus de ressources informatiques. Pour une PME ou une grande entreprise, une perte typique engendre les dépenses suivantes :
Il ne s’agit cependant que d’une moyenne parmi toute une série de vecteurs d’attaque : certaines attaques peuvent coûter bien plus cher. Les vulnérabilités inconnues dites zero-day ont coûté aux PME environ 149 000 dollars et aux grandes entreprises 2 millions de dollars. Les attaques ciblées, quant à elles, ont respectivement engendré des pertes de 143 000 dollars et 1,7 million de dollars. Cependant, une réaction rapide du département responsable de la sécurité informatique limite les coûts.
Dans tous les cas, on observe une augmentation de l’impact financier avec le temps : la détection rapide d’un vol de données est un facteur clé pour minimiser non seulement la perte de données mais aussi les dépenses d’une entreprise. Plus le vol tarde à être détecté, plus cela coûtera cher aux entreprises aussi bien sur le plan financier qu’au niveau de l’intégrité de leurs données. Même quand les vols sont détectés presque aussi tôt, les PME déclarent qu’un vol estimé à 28 000 dollars coûtera 105 000 dollars s’il passe inaperçu pendant une semaine. Pour les grandes entreprises, où un système de détection est mis en place, les dégâts financiers sont tout de même de 393 000 dollars et peuvent dépasse les un million de dollars si le vol n’est pas détecté pendant plus de sept jours.
Les entreprises étant conscientes des vulnérabilités de leurs réseaux et sachant que celles-ci peuvent être exploitées, la prévalence et le succès des cyberattaques ciblant les entreprises ne peuvent qu’augmenter. Si les budgets alloués à la sécurité informatique n’augmentent que modestement au cours des prochaines années, l’impact financier pourrait devenir encore plus important. Alors que les cyberattaques sont inévitables, la façon dont les entreprises utilisent leurs budgets et ressources sera vitale dans les années à venir afin de l’imiter l’impact financier (ainsi qu’en matière de réputation). Les pertes constituent une conséquence inévitable, mais il est essentiel de les minimiser les conséquences.
L’impact financier peut uniquement être limité en utilisant une approche holistique de la sécurité informatique au lieu de reposer uniquement sur des technologies de détection. Il est encourageant de voir que 45% des entreprises pensent que les softwares et hardwares seuls ne suffisent pas à les protéger contre tous les incidents informatiques. Néanmoins, elles n’utilisent pas forcément les bonnes ressources pour assurer une protection complète : 73% pensent encore qu’un simple logiciel de sécurité est efficace.
En plus d’une technologie de prévention, un personnel vigilant, informé et conscient des risques auxquels font face les entreprises aujourd’hui et demain, permettra d’améliorer la détection et de réduire l’impact.
Néanmoins, au moment de déterminer où les budgets alloués à la sécurité seront dépensés, les entreprises font généralement preuve selon l’étude d’une certaine réticence quant à accepter une aide extérieure : seulement 18% des entreprises considèrent de meilleures connaissances et renseignements sur les menaces informatiques comme une des meilleures méthodes pour améliorer la détection.
Malgré ce sentiment, sans tous les avantages que peuvent apporter de meilleures connaissances et renseignements, les entreprises ne pourront pas améliorer leur détection et combattre le nombre grandissant et la gravité des menaces informatiques. La seule manière pour les entreprises de réduire les risques ainsi que les conséquences financières inévitables d’une cyberattaque est d’aller au-delà de la prévention vers la récupération et l’atténuation.
Vous pouvez consulter et télécharger la version régionale du rapport avec les statistiques de France ici. Le rapport est disponible gratuitement après inscription.
donnees

About Author

Globb Security France

Leave A Reply