Attaques par rebond : des chiffres qui confirment la tendance
Plus des deux tiers des entreprises françaises auraient été confrontées à un incident de sécurité informatique l’an dernier. Dans une proportion comparable, l’incident trouverait son origine dans la chaîne logistique.
La menace des attaques par rebond, celles qui touchent initialement la chaîne logistique, apparaissent constituer une dangereuse réalité. Du moins les chiffres d’une étude de Forrester pour Hiscox semblent-ils le mettre en lumière, au-delà des mots et des exemples les plus marquants, par la statistique.
Ainsi, selon cette étude, 67 % des entreprises françaises ont connu un incident de sécurité informatique d’origine malveillante externe – plus communément qualifié d’attaque. Pour l’Hexagone, 68 % des sondés indiquent avoir été touchés par une attaque par rebond. De quoi apporter de l’eau au moulin de l’Agence nationale pour la sécurité des systèmes d’information (Anssi), notamment. Dans ce contexte, la méfiance à l’égard de l’écosystème partenaires et fournisseurs apparaît relativement limitée : seuls 54 % des répondants français indiquent évaluer la sécurité de ceux-ci régulièrement, à savoir au moins une fois par trimestre, ou de façon ad hoc.
Le coût moyen d’un incident de sécurité informatique n’apparaît pas si élevé, dans l’Hexagone, que d’autres chiffres pourraient le laisser supposer – comme ceux de l’institut Ponemon pour IBM de l’an dernier, mais ils portent sur les brèches, et tous les incidents ne débouchent pas sur des brèches. Selon Hiscox, il faut ainsi compter, en France, sur un coût moyen de 110 000 $. A noter, un peu plus tôt cette année, certains experts avançaient des coûts de l’ordre de 500 € pour un client léger affecté, à 2000 € pour un système dédié spécifique comme un distributeur automatique de billets.
En Allemagne, les sondés avancent des coûts considérablement plus élevés : de l’ordre de 906 000 $ en moyenne, contre 486 000 $ en Belgique, ou encore 243 000 $ au Royaume-Uni, par exemple. Mais l’écart entre la moyenne de tous les incidents et celle du seul plus gros incident rencontré est impressionnant, voire étonnant : le second chiffre s’établit ainsi à 49 000 $ en France.
La mauvaise nouvelle est que les chiffres établis par Forrester pour Hiscox ne font pas ressortir de corrélation, à l’échelle d’un pays, entre la maturité des entreprises et le coût moyen des incidents de cybersécurité. Ainsi, en France, 81 % des entreprises sont considérées, selon la méthodologie retenue, comme des « novices » en sécurité informatique, contre seulement 70 % outre-Rhin. Mais attention aux faux-semblants, car les chiffres manquent de granularité pour permettre de tirer des conclusions : notamment, si les coûts moyens des incidents sont détaillés – à l’échelle de tout l’échantillon, et pas de chaque pays considéré – en fonction de la taille de l’entreprise, ce n’est pas le cas pour le niveau de maturité. Pas question, donc, d’aller imaginer qu’être prêt à faire face à un incident de cybersécurité ne paie pas ; l’histoire montre souvent le contraire.
Et il en va de même pour le retour sur investissement de la cybersécurité. Les chiffres présentés par Hiscox ne permettent pas de véritable analyse : il faudrait par exemple pouvoir comparer le budget cybersécurité/hôte au coût moyen des incidents par hôte du SI ; ce que ne permet pas le rapport de l’assureur. Une chose est sûre, la cybersécurité ne ressort pas comme l’enfant gâté de l’IT, ressortant à moins de 10 % du budget IT dans l’Hexagone – ce qui n’est pas bien loin de la moyenne de l’ensemble de l’échantillon.
Autre certitude : la cyber-assurance n’est pas encore largement considérée comme l’un des composants de la panoplie de gestion des menaces informatiques. Si 41 % des sondés disent en avoir souscrit une et 30 % prévoir de le faire d’ici un an, cela laisse encore 29 % de sondés n’ayant aucun intérêt pour le sujet – ou aucune connaissance de celui-ci. Mais Hiscox souligne un point : l’adoption est la plus forte parmi les entreprises les plus matures, et / ou les plus grandes.
Pour produire ces chiffres, Hiscox s’est associé les services de Forrester. Ce dernier a interrogé, à l’automne dernier, près de 5 400 « professionnels impliqués dans la stratégie de cybersécurité de leur organisation », dont 500 en France. Près de 40 % des répondants représentent des entreprises de moins de 50 collaborateurs, 16 % des organisations de 50 à 249 collaborateurs, autant pour les entreprises de 250 à 999 collaborateurs ; le reste de l’échantillon comptant plus d’un millier d’employés.