En 2022 le cout moyen direct d’une attaque réussie était de 59.000 €, c’est un des constats sans appel d’une compilation de 5 études par le cabinet d’avocats Asterès. Ce rapport très détaillée, indique pour l’hexagone un coût global colossal de 2 milliards d’euros, conséquence de 385.000 cyberattaques menées avec succès contre les SI des organisations françaises en 2022. Selon Asterès, le coût de la cyberattaque la plus significative en 2022 se situerait autour de 10 M€, en appliquant le ratio coût maximal/ coût médian obtenu dans l’enquête Hiscox pour l’Allemagne. Le secteur privé représente trois quarts du coût des cyberattaques en France et le secteur public un quart. Le coût direct et le coût des rançons représentent chacun 44 % du coût total, tandis que les pertes de production y contribuent pour 12 %. D’après l’analyse d’Asterès, les coûts directs de pertes se montent à 887 millions d’euros (M€) soit 44 % du montant global de 2 Milliards des sinistres.
La violation de données et l’usurpation d’identité représentent les deux plus grands fléaux parmi les autres types de cyberattaques avec respectivement 35 % et 33 % du total.
Le graphique ci-dessous, issu de l’étude IBM/Ponemon donne une vision claire et détaillée de la ventilation des coûts d’une violation de données et leurs évolutions entre 2017 et 2022.
Au delà des conséquences financières directes, les effets indirects et les implications et obligations juridiques ne sont pas toujours bien intégrées par les organisations. « Les conséquences sur leur image peuvent être dévastatrices si elles tentent de cacher la vérité. Les implications légales, notamment celles imposées par le règlement RGPD, ajoutent un niveau supplémentaire de responsabilité pour les entreprises. Une communication ouverte et transparente sur les mesures prises face à une cyberattaque est non seulement judicieuse, mais aussi juridiquement nécessaire » déclare Alexandre LAZARÈGUE, Avocat spécialisé en droit du numérique chez Astérès.
Des pertes de production très importantes
Le coût direct et le coût des rançons représentent chacun 44 % du coût total, tandis que les pertes de production y contribuent pour 12 %, ce qui n’est pas négligeable.Selon le cabinet Asterés, les pertes de production se montent à 7 millions d’heures de travail, soit un équivalent un total de 252 M€. Encore faut-il nuancer ce constat. Dans le secteur privé, le consommateur subit peu d’effets si le secteur est concurrentiel. Il ne s’agit pas nécessairement d’une perte à l’échelle macroéconomique car un client perdu pour une entreprise peut constituer un nouveau client pour une entreprise concurrente. Dans le secteur public, la conséquence peut être une baisse de satisfaction pour les citoyens, en raison du dysfonctionnement d’un service ou du délai allongé pour le traitement d’une demande, ou d’une hausse des dépenses d’investissement ou de fonctionnement à terme.
Des équipes de cybersécurité mieux préparées
Le Club des Experts de la Sécurité de l'Information et du Numérique (CESIN) assure que les entreprises se sont mieux défendues en 2022. Le rapport sur le coût d’une violation de données d’IBM/Institut Ponemon va dans le même sens, indiquant pour la France une stabilité dans les catégories de pertes dues aux violations de données avec 4,3 M$ en 2022 contre 4,57 M$ en 2021. En 2021, outre la France, la Corée du Sud, la Scandinavie et la Turquie ont enregistré une diminution du coût total moyen d’une violation.Autres données instructives sur la nécessité de poursuivre les efforts pour les DSI et RSSI, 79 % des entreprises d’infrastructures critiques n’ont pas encore déployé d’architecture Zero Trust. De plus, 19 % des violations de données se sont produites en raison d’un partenaire commercial compromis. Enfin, 45 % des violations se sont produites dans le cloud.
Moins que jamais, les organisations ne doivent baisser les bras face à des adversaires qui ne désarment pas.