Le budget moyen nécessaire pour se relever d’une violation de sécurité atteint 504.000 euros pour les grandes entreprises et 34.750 euros pour les petites et moyennes entreprises. Telle est l’une des conclusions majeures d’un rapport établi par Kaspersky Lab sur la base d’une enquête mondiale auprès de 5.500 entreprises, réalisée en 2015 en collaboration avec B2B International.
Selon l’enquête, les types d’incidents de sécurité informatique les plus coûteux sont: fraudes par des employés, cyber espionnage, intrusion dans les réseaux et défaillances de fournisseurs externes.
Une violation grave des systèmes de sécurité informatique engendre de nombreux problèmes pour l’entreprise. Comme les dommages sont très variables, il est parfois difficile pour les victimes elles-mêmes d’évaluer le coût total d’une intrusion. La méthode utilisée pour cette enquête se basait sur des données des années précédentes. De ce fait, on a pu déterminer avec précision sur quels plans les entreprises doivent engager des dépenses ou perdent de l’argent suite à un incident de sécurité. Les entreprises doivent généralement dépenser davantage en services professionnels (notamment des spécialistes IT externes, des juristes, des consultants, etc.) et enregistrent une réduction de leurs recettes du fait qu’elles manquent des opportunités commerciales et subissent des temps d’immobilisation des systèmes.
Par ailleurs, la probabilité des différentes dépenses ou pertes varie et il s’agit là d’un point important qu’il faut prendre en compte en plus de la taille de l’entreprise. Une méthode similaire a été utilisée pour évaluer les dépenses indirectes. Par dépenses indirectes, nous entendons les budgets dont les entreprises ont besoin après les interventions de remise en service mais qui découlent encore de l’incident de sécurité informatique. Outre les sommes déjà citées, les entreprises sont généralement amenées à dépenser encore entre 7.000 euros (PME) et 63.000 euros (grandes entreprises) en personnel, en formations et en mises à niveau des infrastructures.
La facture moyenne d’un incident de sécurité dans les grandes entreprises se présente comme suit :
– Services professionnels (informatique, gestion des risques, avocats) : jusqu’à 77.000 euros avec une probabilité de 88%
– Opportunités commerciales manquées: jusqu’à 185.000 euros, 29%
– Temps d’immobilisation des systèmes: jusqu’à 1,2 million d’euros, 30%
– Total en moyenne: 504.000 euros
– Dépenses indirectes: jusqu’à 63.000 euros
· Atteinte à la réputation: jusqu’à 187.000 euros
Les PME et les grandes entreprises subissent ces incidents de différentes manières
Sur l’ensemble des entreprises ayant participé à l’enquête, neuf sur dix ont indiqué avoir subi au moins un incident de sécurité. Cependant, tous les incidents n’ont pas forcément été de grande gravité et/ou n’ont pas tous conduit à une perte de données sensibles. Généralement, une violation de sécurité grave est la conséquence d’une attaque par maliciels, d’opérations d’hameçonnage, de fuites de données par des employés et d’exploitations frauduleuses de failles dans les logiciels. Les coûts estimés offrent un nouveau regard sur la gravité des incidents de sécurité informatique. Dans ce cadre, les points de vue des PME et des grandes entreprises diffèrent quelque peu.
Les grandes entreprises paient sensiblement plus cher quand un incident de sécurité informatique découle de la défaillance d’un partenaire extérieur de confiance. Parmi d’autres incidents coûteux évoqués, il faut citer les cas de fraude par des employés, le cyber espionnage et les intrusions dans le réseau. Les PME perdent généralement des sommes importantes avec pratiquement chaque type d’intrusion et déboursent des montants comparables, qu’il s’agisse d’une restauration après un espionnage industriel ou d’attaques DDoS et par hameçonnage.
« Nous ne disposons que de peu de rapports sur les conséquences des incidents de sécurité informatique vu que ceux-ci donnent une estimation des dommages en termes financiers. Il est également difficile de concevoir une méthode fiable pour déterminer une moyenne. Néanmoins, nous estimons que cette approche est nécessaire pour pouvoir établir un lien entre les menaces affectant les entreprises et les situations pratiques dans les entreprises. C’est pourquoi notre équipe Market Intelligence a dressé une liste des menaces professionnelles ayant causé les dommages les plus significatifs. Ce sont les menaces pour lesquelles les entreprises doivent à notre avis consacrer la plus grande attention », déclare Martijn van Lom, General Manager Benelux
Source : Kaspersky Lab