alphaspirit - Fotolia
Accroissement sensible des coûts financiers provoqués par les attaques cybercriminelles
Selon l’institut Ponemon, la cybercriminalité coûte en moyenne 7,7 M$ aux entreprises, sur un an. Une progression de 13,9 % par rapport à l’an passé, en tenant compte des taux de change.
En octobre 2012, Art Coviello, président exécutif de RSA, invitait à la circonspection : « je prends toujours les chiffres de la cybercriminalité avec beaucoup de prudence », indiquait-il dans un entretien avec la rédaction. Trois ans plus tard, on est tenté d’appréhender les chiffres de l’Institut Ponemon sur le coût de la cybercriminalité avec la même prudence.
Et cela d’autant plus que HP, pour qui l’étude a été à nouveau réalisée cette année, donne l’impression de jouer l’alarmisme. Sur sa page Web dédiée à l’étude, le groupe annonce ainsi que « les coûts de la cybercriminalité bondissent de 19 % », sans plus de précision. Le résumé général de l’étude globale ne laisse pas émerger un tel chiffre. Ponemon fait ainsi état d’un coût moyen annualisé de 1,9 %, à 7,7 M$. Pour un coût maximal, sur l’échantillon étudié, de 65 M$... contre 61 M$ un an plus tôt : une progression de 6,55 %.
En fait, il faut aller plus loin dans lecture du document pour relever que la progression de 19 % ne porte que sur les Etats-Unis. En Russie, elle est plus importante : 29 %. Contre 14 % au Japon et au Royaume-Uni, 13 % en Australie et un assez contenu 8 % en Allemagne. Le tout établi « mesuré en devises locales ». De quoi intégrer des fluctuations de taux de change déjà signalés par Gartner. Récemment, le cabinet relevait ainsi l’impact négatif sur les ventes de produits et solutions de sécurité de la dépréciation du dollar face à l’euro : celle-ci a conduit, selon lui, à des augmentations de prix jusqu’à 20 % sur le vieux continent, pour les produits venus d’outre-Atlantique.
Mais si l’étude de Ponemon a le mérite de donner un éclairage, elle est bien loin de fournir une photographie en haute définition. De fait, si l’institut souligne qu’il lui a fallu « 10 mois d’efforts pour recruter les entreprises, construire un modèle de coût basé sur les activités pour analyser les données, collecter les informations sur les source, et finaliser l’analyse », son travail ne porte in fine que « un échantillon représentatif de 252 organisations dans 7 pays » - la France n’en fait pas partie -, et uniquement de plus d’un millier de collaborateurs.
A taux de change constant, Ponemon estime que le coût de la cybercriminalité pour les entreprises à progressé de 13,9 % sur un an et qu’il augmente avec la taille de l’entreprise concerné. Les organisations de taille inférieur à la médiane de l’échantillon ressortent plus affectées par les attaques Web, le hameçonnage et l’ingénierie sociale, ou encore les logiciels malveillants. Les autres enregistrent un impact financier plus grand des dénis de services, des acteurs internes malveillants, de codes malicieux, et de terminaux volés. Ponemon précise : les logiciels malveillants sont définis comme ayant infiltré le réseau, tant que les attaques par code malicieux visent la couche applicative et les bases de données.
Sans trop de surprise, le plus lourd tribut est supporté par les entreprises des services financiers, tout juste devant les utilités et les énergéticiens. Derrière, on trouve les entreprises du secteur de l’IT, des services, l’industrie, la défense, ou encore le secteur public.
Mais le point le plus parlant de l’étude est peut-être ailleurs : Ponemon fait état cette année de rien moins que 1,9 attaque réussie par semaine, contre 1,3 en 2012, avec un délai moyen de résolution de 46 jours. Mais pour la menace interne, ce chiffre monte à 54 jours.
Enfin, comme le relève Ponemon, il reste un chiffre qui n’est pas pris en compte là pour mesurer le coût total de la cybercriminalité : celui des investissements pour s’en protéger et « maintenir la posture de sécurité d’une organisation ou sa conformité avec les standards, les politiques et les réglementations ».