Cyber-attaque : quel coût pour votre business ?

0

Les nouvelles technologies font désormais partie de notre quotidien, ce qui signifie que la cybersécurité et les risques associés deviennent de plus en plus importants. Cette dépendance accrue de l’informatique rend indispensable la sensibilisation aux impacts financiers d’une cyber-attaque au sein d’une entreprise.

Connaître les risques

Les cyber-risques augmentent pour deux raisons principales :

les stratégies de piratage sont de plus en plus sophistiquées (APT, malware et ransomware inconnus…) ; les outils déployés par les cybercriminels sont plus faciles à obtenir, parfois leurs utilisateurs ne possèdent même pas de compétences particulières dans le domaine.

l’accès universel au haut débit est le prochain défi de la société de l’information ; de nos jours, d’innombrables personnes peuvent accéder à des connexions à grande vitesse depuis leurs ordinateurs ou leurs smartphones.

Selon un étude Ponemon, 50% des fuite de données en 2016 sont dues à des attaques cybercriminelles et 23% sont dues à des erreurs humaines.  Cependant, les incidents liés à la cybersécurité peuvent avoir des conséquences très graves pour une entreprise, que ce soit en raison d’une attaque venue de l’extérieure et orchestrée par des pirates informatiques, ou d’une erreur humaine résultant d’un manque de formation et / ou de supervision.

Fin 2016, plus de 600 millions de malwares ont été enregistrés, deux fois plus qu’en 2014. En contrepartie, les investissements des entreprises dans la cybersécurité semblent stagner, voir même baisser. Cela vous semble-t-il raisonnable ?

Connaître son réseau et ses données

Afin d’optimiser la gestion des risques, il est essentiel d’identifier vos données sensibles. Dans la plupart des entreprises, le savoir est l’un de ses principaux atouts. Grâce aux interactions avec ses clients, les entreprises collectent, produisent et utilisent des données susceptibles d’être considérées par la loi comme étant sensibles.

C’est pourquoi elles doivent se conformer non seulement au régime HIPAA, mais aussi à de nombreuses autres réglementations tels que le NIS et le RGPD.

Connaître le vrai coût d’un incident

Il est relativement facile de calculer la valeur des actifs matériels ou immatériels et des coûts connexes. Mais qu’en est-il des coûts associés aux temps d’arrêt opérationnel ou à d’autres impacts sur l’activité d’une entreprise en cas d’incident en sécurité ?

Dans le cas de l’infâme rançongiciel WannaCry, l’impact subi par les entreprises infectées est loin d’être négligeable. Entre autre, cette cyberattaque à causé des pannes de courant chez le propriétaire des biscuits Lu et Oreo, le groupe Mondelez. Suite à cet incident, 310 ouvriers de 33 pays restent en chômage technique.

Cela étant dit, le non-respect de la législation et / ou des contrats peut entraîner des frais juridiques, y compris les honoraires d’un cabinet d’avocats, les pénalités et le retrait des fonds existants et futurs. Comprendre le coût d’une violation d’un point de vue légal fait aussi partie du processus de gestion des risques en cybersécurité.

Il faut comprendre dès le début que toute violation de données entraîne des coûts associés à la découverte et à la réponse immédiate dans le cas d’un incident. Il s’agit ici notamment de mener des enquêtes, de déterminer la plage de victimes potentielles, de former l’équipe d’intervention et de gérer les crises (y compris les relations avec le public).

Au moment de la découverte d’une brèche en sécurité, des frais vont être générés afin de déterminer quelle réglementation est applicable et d’assurer la communication avec les parties concernées. Une fois cette première étape franchie, il faut compter les coûts associés à la protection d’identité, aux éventuels audits, aux affaires perdues en raison d’un arrêt opérationnel ou d’un préjudice à la réputation de l’entreprise.

Prenons par exemple le site de rencontres Ashley Madison qui s’est vu obligé d’effectuer un règlement de 11,2 millions de dollars aux victimes du cyberattaque qui a exposé les transactions personnelles et les informations financières de millions de clients prétendus.

L’étude Ponemon indique également que le coût moyen d’un incident en cybersécurité dans les entreprises européennes est de 3,7 millions euros. En parallèle, le coût par employée d’une fuite de données continue d’augmenter : 201 $ en 2014, 217 $ en 2015 et 221 $ en 2016. Les industries fortement réglementées ont les coûts les plus élevés (402 $ pour l’industrie des soins de santé, par exemple).

Ces coûts permettent d’expliquer pourquoi, en 2016, les coûts liés à des violations de données variaient de 4,9 millions de dollars pour moins de 10 000 dossiers compromis à 13,1 millions de dollars pour plus de 50 000 dossiers. D’ici 2019, Panda Labs Juniper Research estime que la cybercriminalité coûtera aux entreprises plus de 2 billions de dollars.

Connaître l’impact derrière

Début 2016, The Economist Intelligence Unit (EIU) a mené un sondage global auprès de 282 managers en ce qui concerne leurs priorités en matière de cybersécurité. Lorsqu’on leur a posé des questions sur les impacts les plus importants dans l’éventualité d’une cyberattaque, leur réponse était claire : « notre réputation auprès de nos clients » est la plus grande crainte.

Pourquoi alors la protection de la marque de l’entreprise est-elle si critique dans la cybersécurité ?

La marque de l’entreprise est son atout le plus précieux car elle touche à tout. C’est ce qui fait la force d’une organisation et qui est derrière sa croissance et ses revenus. C’est aussi l’atout qui, lorsqu’il est compromis… peut être très difficile à réparer.

Les dommages subis par une entreprise lors d’une cyber-attaque peuvent porter préjudices à sa réputation car souvent les conséquences se font ressentir à l’extérieure de l’organisme en question. En effet, une fuite de données expose également les clients au danger de vol d’identité ou de pertes financières. Les clients sont très conscients de cela. Ils peuvent se dire qu’il s’agit d’une entreprise qui n’est pas préparée et ils vont au-delà de l’incident pour remettre en question ses produits et ses services.

L’attaque elle-même n’est que le début. Toutes les entreprises ciblées dans les dix cyber-attaques les plus importantes au cours des cinq dernières années ont été poursuites en justice par des actionnaires ou des clients. Au-delà des dégâts subis, ces évènements hautement médiatisés font obstacle à l’évolution des affaires.

Bien qu’intangible, les dommages causés à l’image de la marque d’une entreprise ont un impact réel sur les performances financières et ce n’est pas difficile de s’imaginer pourquoi. Après que Target a communiqué au public large une violation de données concernant 110 millions de ses clients, ses ventes ont chuté de 4%, le prix d’une action a chuté de 46% et le PDG a perdu son poste.

Des solutions existent

Sensibiliser les collaborateurs à la sécurité informatique augmentent les coûts de 5 $, migrer des services informatiques vers le cloud augmente les coûts de 15 $ et employer de tiers pour gérer les incidents de sécurité augmente les coûts de 20 $.

Mais l’effort en vaut la peine. Selon l’étude de Ponemon, une équipe d’intervention d’incident réduit le coût per capita d’une violation de données de 26 $, tandis que l’utilisation du chiffrement le réduit de 19 $, la sensibilisation de 15 $ et la désignation d’un responsable de la sécurité de système d’information (RSSI) de 8 $.

Prendre la bonne décision

Ce qu’il faut retenir est que toute information dans une entreprise est précieuse – pour les dirigeants et pour les pirates. Fini les jours où les cybercriminels s’attaquaient à des cibles faciles et des réseaux vulnérables.

Si avant vous devriez vous demander à quelle vitesse courir lorsque vous êtes poursuivis par un ours grizzli, la question devient aujourd’hui : « Que faire si vous portez un pot de miel dans le bras ? ». Quelle valeur a ce miel pour vous et que ferez-vous pour le protéger ?

About Author

Jean-Nicolas Piotrowski

Fondateur et Président d’ITrust. Diplômé de l’IUP STRI, ingénieur en télécommunications et réseaux informatiques, il a été successivement Responsable Sécurité de la salle de marché BNP Paribas, consultant sécurité pour la Banque Postale et le Crédit Lyonnais. En 2007, il fonde ITrust et dirige la société.

Leave A Reply