Les coûts internes sont humains comme financiers. Les collaborateurs des entreprises peuvent facilement passer des heures à atténuer manuellement les conséquences de ces attaques, ce qui génère de la frustration et un épuisement significatif, tout en détournant leur attention des activités génératrices de revenu. Parmi les conséquences externes, la perte de confiance clients, la baisse de leur satisfaction et les atteintes à la réputation des entreprises figurent en tête de liste. Néanmoins, le temps perdu et la perte de clients ne sont que la partie émergée de l'iceberg. Des dommages collatéraux sont également à considérer.
L'inéluctable impact financier : quand les bots menacent les revenus
Si l'impact financier d'une attaque de bots semble évident, le trafic de bots malveillants grignote souvent les revenus de manière plus subtile, notamment en raison des temps d'indisponibilité du site Web ou de ses performances réduites. Prenons l'exemple des attaques DDoS au niveau de la couche applicative. Bien qu'elles soient généralement« faibles et lentes », elles peuvent mettre hors-service le site d'une entreprise. Comment calculer le coût de la mise hors ligne pour une organisation ? Il faut diviser le total des revenus en ligne par le nombre de minutes par année (525 600 minutes) et multiplier ce chiffre par le nombre de minutes d'indisponibilité causées par une attaque. Par exemple, si une entreprise génère un chiffre d'affaires de 100 millions d'euros sur internet et qu'elle fait face à deux heures d'interruption, cela représente un manque à gagner de près
de 23 000 euros.
Il n'est pas nécessaire que les attaques de bots désactivent intégralement un site pour aliéner des clients potentiels ; il suffit qu'elles en entravent les performances. Nous sommes tous passés par là : essayer d'acheter en ligne ou de naviguer sur un site lent est incroyablement frustrant. Que faisons-nous dans ce cas ? Nous abandonnons la page ! Il ne faut pas sous-estimer l'importance des secondes et des millisecondes. Un retard d'une seconde seulement dans le délai de réponse d'une page peut entraîner une réduction
de 7 % des conversions. Si l'on part du principe que l’entreprise génère 100 000 dollars de recettes par jour, cela représente une perte de 2,5 millions de dollars par an. Et n’oublions pas les coûteuses violations de données personnelles qui, ces dernières années, font couler beaucoup d’encre. À titre d’exemple, Equifaxa écopé d’une amende de 700 millions de dollars suite à la large fuite de données personnelles de ses clients en 2017.
Les coûts opérationnels dévoilés : au-delà des pertes évidentes
Outre la perte de revenus, les attaques de bots malveillants et la fraude en ligne peuvent entraîner une augmentation des coûts opérationnels, que ce soit via l’abus des récompenses de fidélité, l’augmentation des factures liées à l’utilisation d’un réseau de diffusion de contenu (CDN) et de coûts d'authentification accrus, entre autres. En effet, la fraude liée aux programmes de fidélisation et de récompense est une activité très lucrative pour les cybercriminels, ce qui rend ces types de programmes vulnérables aux attaques. Selon le Connexions Loyalty Report, 72 % des responsables de programmes de fidélisation ont rencontré des problèmes liés à la fraude. Les factures des CDN peuvent également monter en flèche dans la mesure où presque tous les grands CDN ont un modèle de tarification par gigaoctet utilisé.Le trafic de bots augmente considérablement le transfert de données vers l'extérieur, ce qui fait grimper les factures de CDN jusqu'à 70 % pour certaines entreprises. En ce qui concerne l'augmentation des coûts d'authentification, si l'un des services en ligne qu'une entreprise propose nécessite une authentification supplémentaire, celle-ci peut être associée à des frais supplémentaires. Par exemple, avec l'authentification à deux facteurs (2FA), il se peut que l'entreprise paie pour l'envoi d'un SMS à chaque fois qu'un utilisateur se connecte. Si la page de connexion est frappée par un volume massif de requêtes malveillantes, cela peut générer rapidement une facture de plusieurs dizaines ou centaines de milliers de dollars.
Risque réglementaire : quand les bots conduisent les entreprises à enfreindre la loi
En outre, les législateurs de nombreux pays ont introduit des réglementations visant à protéger la vie privée des consommateurs et la sécurité de leurs données, comme la RGPD en Europe et le Consumer PrivacyAct en Californie. Peu importe où se trouve uneentreprise : si elle collecte des données auprès de résidents de l'Union européenne ou de la Californie, les violations provoquées par des bots, telles que les attaques ATO non atténuées, l'exposeront à de lourdes pénalités.
Une célèbre entreprise américaine de commerce électronique s’est même vu infliger en juillet 2021 une amende de plus de 875 millions de dollars en raison de violations présumées du GDPR. Le trafic de bots peut attirer sur une entreprise une attention non désirée, tant sur le plan social que juridique, qui aura un impact sur ses résultats financiers.
Naviguer le labyrinthe des solutions de protection
À ce jour, le moyen le plus efficace pour protéger efficacement la réputation et les résultats de son entreprise contre les dommages causés par les bots malveillants est de recourir à une solution logicielle de protection contre les bots. Plusieurs options étant disponibles sur le marché, il est nécessaire de se poser les bonnes questions avant d’investir. Quel est le niveau de précision de la détection ? Il faut se méfier des solutions qui troquent la précision de la détection contre la rapidité. Quel est l'impact sur la qualité de l’expérience de l'utilisateur final ? Ce qui est bon pour les consommateurs est bon pour l’entreprise. Il faut donc éviter les solutions qui ajoutent de la latence ou qui dégradent l'interface utilisateur. La solution est-elle un multiplicateur de force pour ses équipes ? En d'autres termes, il convient de rechercher une solution qui offre un effet de levier grâce à sa transparence, ses multiples intégrations, sa facilité de mise en œuvre et sa compatibilité avec l'infrastructure.Les impacts financiers négatifs du trafic de bots malveillants et de la fraude en ligne peuvent être immédiats ou différés et à la fois graves et durables. C'est pourquoi la plupart des directions d'entreprise doivent identifier la bonne protection contre les bots pour pouvoir obtenir un bon retour sur investissement, qu'il s'agisse d'éviter des attaques coûteuses ou d'épargner des heures de travail aux employés chargés de la neutralisation manuelle des bots.
Par Benjamin Fabre, CEO et cofondateur de DataDome