Quels sont les enjeux et l’impact financier d'une attaque sur la stratégie d'entreprise?

0

À l’ère de l’hyperconnectivité et de l’interconnexion des systèmes d’informatique, personne aujourd’hui n’est épargné par la menace cyber qu’il s’agisse des grandes entreprises, PME, hôpitaux, ministères, industries, infrastructures vitales ou même des particuliers. Les cyberattaques se multiplient et se complexifient  dans un environnement toujours plus numérique où télétravail, recours au cloud, digitalisation et objets connectés deviennent la norme. 

Euler Ermès, spécialiste de l’assurance, estime que sur l’année 2021, près de 70% des entreprises ont subi au moins une cyberattaque. Les préjudices subis augmentent également, selon Cybersecurity Ventures, le coût d’une cyberattaque en 2021 s’élève à 600 milliards, somme qui devrait doubler d’ici à 2025. Il est désormais naturel de considérer la cybersécurité comme un enjeu à fort impact financier dans la stratégie IT. C’est une problématique à part entière qu’il faut notamment intégrer dans les projets de migration cloud.

Comment répondre à une cyberattaque

Si le vol de données est la forme de piratage la plus connue, d’autres types de cyberattaques existent. Le ransomware ou le déni de service, pour ne citer que les plus fréquentes, désignent respectivement l’installation de logiciels malveillants pour chiffrer les données ou saturer des systèmes pour les rendre inutilisables. L’objectif de l’attaque est clair : mettre en place un chantage financier pour obtenir une somme d’argent. 2,2 millions de dollars exigés en moyenne, c’est le montant des demandes de cybergangs en 2021, soit une croissance de 144% sur un an. Bien que les organisations attaquées payent rarement le prix exigé, le montant moyen versé n’a jamais été aussi élevé : 541 000 dollars en moyenne, soit une hausse de 78% (source Unit 42 – Palo Alto Networks).                                                                       

La première clé d’une bonne gestion d’une cyberattaque est évidemment la rapidité de détection. Sur ce point, les entreprises sont de plus en plus armées, et le prennent désormais souvent en compte dans leur stratégie IT. En effet, selon le rapport MTrends 2021 de FireEye, les entreprises détectaient les incidents en 24 jours en 2020, soit deux fois plus vite qu’en 2019. Un délai qui se réduit donc, mais reste particulièrement long.          

Une fois la cyberattaque détectée, l’entreprise va mettre en place une stratégie qui commencera généralement par des réponses techniques (déconnexion des appareils infectés, application des correctifs de sécurité, vérification des droits d’usage des applications et des accès utilisateurs, etc.) puis par la transmission des informations liées à l’incident. L’entreprise se doit en effet d’alerter ses équipes, clients (dont les données peuvent avoir été corrompues), partenaires et dans certains cas l’ANSSI (Agence nationale de la sécurité des systèmes d’information) afin d’assurer la mobilisation en interne et anticiper les problèmes d’interruption de l’activité. Toutes les mesures mises en œuvre auront irrémédiablement des conséquences qui se caractériseront, in fine, par des impacts financiers, voire même réputationnels, pour l’entreprise.                                                                                                                                         

Quels sont les impacts financiers liés à un piratage informatique ?

La réponse à une cyberattaque va engendrer, pour l’entreprise touchée, un ensemble d’impacts financiers immédiats, mais également des répercussions indirectes et à plus long terme. 602 millions de dollars ont été versés par les entreprises du monde entier en 2021 suite à une attaque par ransomware  C’est que révèle l’étude Cyber Benchmark de la société de conseil Wavestone démontrant également qu’aujourd’hui, 30 % des organisations françaises sont vulnérables face aux ransomwares par manque d’investissements dans des outils et logiciels de sécurité.

Impact sur le cash

À très court terme, un impact de trésorerie est inévitable. Le premier centre de coûts est lié à la réparation de la cyberattaque et à la mise en place d’infrastructures temporaires pour maintenir l’activité. Ici, deux cas de figure se dessinent :

  • Les entreprises qui optent pour la stratégie la plus rapide, mais souvent la plus risquée : le paiement de la rançon aux hackers. Il n’y a en effet aucune garantie que les hackers respectent leur part du marché et quand bien même, ils ont encore la main sur le système IT.
  • La société peut également lutter contre la cyberattaque en menant des actions correctives et judiciaires. La trésorerie est alors directement impactée par le recours à des prestataires externes sur les versants à la fois techniques (amélioration des dispositifs de cybersécurité, sécurisation des données post-incident) et juridiques (honoraires d’avocats et frais de justice).

Impact sur le chiffre d’affaires

Un impact financier directement sur le chiffre d’affaires peut également être observé dû à l’arrêt de la production et de ventes ou à la démobilisation d’équipes en interne. En 2017, NotPetya, une cyberattaque de type ransomware, a paralysé plusieurs entreprises comme Saint-Gobain, Auchan ou la SNCF, avec une perte évaluée à 10 milliards de dollars. Autre exemple marquant chez Bénéteau, entreprise française, leader mondial de la construction de bateaux. En 2021, une cyberattaque très violente les a contraints du jour au lendemain à fermer toutes ses usines paralysant de fait la production. L’impact en perte de chiffre d’affaires est estimé à 45 M€ par Jérôme De Metz, président directeur général du groupe.                                                                                                                                                 

Impact sur la valorisation Dans une autre perspective, une cyberattaque déprécie la réputation d’une société et la valeur de la marque. Un impact sur la valorisation peut alors survenir. L’étude de la société Bessé se penche sur les conséquences pour les sociétés cotées et non cotées. Pour les premières, on observe un recul moyen de 9% du cours de Bourse. Mais les répercussions sont d’autant plus importantes pour les secondes. En France, les ETI voient leur risque de défaillance augmenter de 80% à la suite d’une cyberattaque. Une autre étude réalisée par PwC France et le chercheur/expert Guy-Philippe Goldstein, a analysé 30 incidents de cybersécurité s’étant produits dans 28 entreprises mondiales. Plus de 60% de ces sociétés ont ainsi vu leur valeur boursière impactée avec, en moyenne, plus d’un an après l’incident, une perte de la valeur patrimoniale de 10 %, voire même de 20 % pour les entreprises les moins réactives et les moins bien préparées. Après douze mois, la baisse du cours de l’action est de 19,5 %.                                                                                         

Quelles sont les premières étapes pour agir ? Si les risques et les enjeux financiers d’une cyberattaque sont bien tangibles, les réponses semblent encore inadaptées. Selon une étude IBM Ponemon Institute, 80% des entreprises françaises n’ont pas de stratégies IT robustes. Voici quelques pistes d’ouverture sur les actions à mettre en œuvre pour pallier ce manque de préparation aux attaques cybersécurité :                                                                                    

  • La sensibilisation des collaborateurs aux cyberattaques : l’Agence nationale de la sécurité des systèmes d’information (ANSSI) propose notamment différents guides pour accompagner les entreprises françaises sur ce sujet avec par exemple “la cybersécurité pour les TPE/PME en 12 questions”. Comme le rappelle souvent son directeur Guillaume Poupard, la cybersécurité est l’affaire de tous. 
  • Car l’un des facteurs de risque est humain, le renforcement de l’authentification des systèmes d’information (double authentification) fait partie des mesures à prendre. 
  • La définition du niveau de protection actuel de l’entreprise : il est nécessaire d’investir du temps pour évaluer le niveau de sécurité du SI et être en mesure de connaître ses forces et ses faiblesses, pour mettre en place une bonne stratégie IT.
  • La création d’une cellule de gestion de crise sera également inévitable pour activer rapidement les ressources humaines, techniques et financières qui permettront à l’entreprise de limiter l’impact d’une cyberattaque en cours ou à venir. 
  • Tout comme accroître la supervision de sécurité, des logs journaliers, pour détecter toute compromission ou bien encore assurer une sauvegarde hors-ligne des données et applications critiques pour se prémunir du chiffrement.  
  • Enfin, adopter l’approche Zero Trust semble être un pré requis face à la multiplication et la diversification des attaques. Créée en 2010 par John Kindervag, analyste de Forrester Research, l’approche Zero Trust se résume ainsi: « Ne jamais faire confiance, toujours vérifier ». Le Zero Trust est un modèle de sécurité de réseau selon lequel aucune personne ni aucun terminal à l’intérieur ou à l’extérieur du réseau d’une entreprise ne doit avoir accès à des systèmes ou services informatiques tant qu’il n’est pas authentifié et vérifié en permanence. À l’ère du travail hybride, de l’employé mobile first et du shadow IT, s’en remettre à cette approche holistique de la sécurité est le meilleur moyen de se prémunir des cyberattaques. 
  • En complément de ces conseils, le recours à une cyber assurance est à envisager pour couvrir certaines pertes occasionnées par une attaque informatique.

Si les risques et les enjeux financiers d’une cyberattaque sont bien tangibles, les réponses semblent encore inadaptées. Selon une étude IBM Ponemon Institute, 80% des entreprises françaises n’ont pas de stratégies IT robustes. Subir une cyberattaque est généralement un élément déclencheur dans la prise en compte de ces risques dans la stratégie cyber. Cette stratégie de réaction a posteriori a un impact financier bien plus négatif que l’anticipation et la mitigation de ces risques en amont. 

About Author

Clément David

CEO et cofondateur de Padok

Leave A Reply