Les études d’impact des cyberattaques sont généralement centrées sur les coûts financiers directs. Ces derniers ne sont cependant que la partie émergée de l’iceberg. Une étude de Deloitte est allée plus loin afin d’illustrer la profondeur des effets de coûts ressentis lors des cyber-incidents.

L’idée que les attaques sont inévitables et que toutes les organisations en seront victime - la seule question étant de savoir quand ? - est porteuse d’un certain fatalisme. Et si de nombreux spécialistes de la sécurité y vont de leurs analyses sur les coûts des incidents de sécurité, les dirigeants espèrent passer au travers, ou à minima réduire la facture.

Les effets cachés des cyberattaques

C’est oublier que l’on connaît finalement mal les effets des cyberattaques. En dehors de l’évidence, des coûts directs, financiers, qui sont connus et ont fait l’objet de nombreuses études, mais qui ne sont que la partie émerger d’un iceberg dont les effets sont autrement dévastateurs.

Derrière le vol de données personnelles, par exemple, figurent des dommages qui restent visibles en surface : vol, espionnage, destruction de données, attaques contre les activités de base de l’entreprise, ou encore tentatives de désactivation des infrastructures critiques. Mais sous la surface, ces attaques peuvent avoir un impact autrement plus significatif sur les organisations. D’autant qu’elles ne sont pas bien comprises et sont difficiles à quantifier.

Réalisée par les équipes des divisions Cyber Risk, Forensic & Investigation, et Valuation de Deloitte, l’étude a permis d’identifier 14 facteurs de coûts liés à une cyberattaque qui peuvent affecter fortement les organisations. Et dont une partie seulement est visible. Leur identification provient des approches de modélisation financière, de quantification des dommages et du business, et de valorisation des actifs techniques réalisées à la suite d’attaques sur leurs clients.

Sur et sous la surface...

Une image étant préférable à un long discours, nous vous proposons la synthèse de l’étude sous la forme d’un iceberg, avec les différents impacts... que nous résumons à la suite :

Deloitte-cyberattaques-1

Coûts connus, en surface

  • Technical investigation

Coûts directs pour déterminer ce qui s’est passé durant la cyberattaque et qui en est responsable.

  • Customer breach notification

Dépenses directement associées à l'information et au conseil des personnes dont les données ont été compromises, et au respect des règles de régulation.

  • Post-breach customer protection

Coûts directs associés aux services de détection et de protection des clients compromis contre l’utilisation possible des données personnelles.

  • Regulatory compliance

Amendes ou frais perçus à la suite de la non-conformité ou de la violation des lois ou réglementations.

  • Public relations

Coûts directs associés à la gestion externe des communications et à la surveillance de la marque suite à un incident.

  • Attorney fees and litigation

Les honoraires d’avocat et frais de justice peuvent englober un large éventail de frais de conseil juridique et de règlements, et les coûts associés à des actions en justice que l’entreprise peut prendre pour défendre ses intérêts.

  • Cybersecurity improvements

Les coûts associés à l’amélioration de la cybersécurité sont des dépenses directes pour l’amélioration technique de l’infrastructure, les contrôles de sécurité, les capacités de surveillance, ou les processus en particulier de récupération les opérations commerciales après un incident ou pour empêcher un événement similaire à l’avenir.

Coûts cachés ou moins connus, sous la surface

  • Insurance premium increases

Augmentation des primes d’assurance et ajout de coûts supplémentaires lors du renouvellement des polices d’assurance pour cyber-risque.

  • Increased cost to raise debt

Augmentation du coût de la dette à la suite d’une baisse de la cote de crédit, d’une hausse des taux d’intérêt pour les capitaux empruntés, ou lors de la renégociation de la dette existante.

  • Impact of operational disruption or destruction

Une catégorie de coût très variable qui inclut les pertes liées à la manipulation ou la modification des opérations, et des coûts associés à la reconstruction des capacités opérationnelles normales.

  • Lost value of customer relationships

Au cours d’une période qui suit immédiatement une violation, il peut être difficile de quantifier et de suivre le nombre de clients perdus.

  • Value of lost contract revenue

La perte de revenu liée à la parte de contrats, ainsi que la possibilité de futures pertes associées à des contrats qui se sont terminés à la suite de l’incident.

  • Devaluation of trade name

La dévaluation du nom commercial est une catégorie de coûts intangibles qui fait référence à la perte de valeur des noms, marques ou symboles qu’une organisation utilise pour distinguer ses produits et services.

  • Loss of intellectual property (IP)

La perte de la propriété intellectuelle est un coût immatériel lié à la perte du contrôle exclusif sur les secrets commerciaux, les droits d’auteur, les brevets, les dessins, les marques, les plans d’investissement et d’autres informations exclusives et confidentielles. Ce qui peut conduire à la perte d’un avantage concurrentiel, la perte de revenus, et des dommages économiques durables et potentiellement irréparables pour l’entreprise.

La timeline de l’impact des cyberattaques

Il manque une dimension à cette vision, le temps. Ayant scénarisé une attaque type, les experts de Deloitte proposent une timeline qui démarre à la découverte de l’incident, et qui s’étale sur 5 ans, rappel que les effets d’un incident se mesurent dans le temps.

Deloitte-cyberattaques-2

Source : Etude « Beneath the surface of a cyberattack : A deeper look at business impacts » de Deloitte Image d’entête 74558233 @ iStock Challya