Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Etude Kaspersky Lab : Quand les incidents de sécurité coûtent cher aux entreprises

septembre 2015 par Kaspersky Lab

Il est souvent difficile pour les victimes elles-mêmes d’estimer le coût total d’un incident de sécurité en raison de la diversité des dommages. Mais une chose est sûre, l’addition monte vite.

Une enquête mondiale réalisée en 2015 par Kaspersky Lab auprès de 5 500 entreprises, en coopération avec B2B International révèle également que les fraudes commises par les employés, les cas de cyber espionnage, les intrusions sur le réseau et les défaillances de prestataires extérieurs représentent les incidents de sécurité les plus coûteux. Selon ce rapport, le budget moyen nécessaire aux grandes entreprises pour se remettre d’un incident de sécurité serait de 551 000 et 38 000 dollars pour les PME.

« Définir le coût d’une attaque est une tâche très difficile à réaliser car le périmètre d’impact est variable d’une entreprise à l’autre. Cependant, ces chiffres nous rappellent que les coûts d’une attaque ne se limitent pas au remplacement du matériel, et nous obligent à nous interroger sur son impact à long terme. A noter également que toutes les entreprises ne sont pas égales : certaines attaques visent à stopper l’activité commerciale d’une entreprise quand d’autres ciblent l’exfiltration de données secrètes, par exemple. Il ne faut pas oublier non plus que l’onde de choc générée par l’annonce publique d’une attaque ou d’une fuite de données à des conséquences directes sur la réputation d’une entreprise, et ce qui est alors perdu est souvent inestimable » explique Tanguy de Coatpont, directeur général de Kaspersky Lab France.

Facture moyenne d’un incident pour une entreprise :

· Services professionnels (informaticiens, gestion du risque, juristes) : il existe 88% de chance d’arriver à une facture pouvant atteindre jusqu’à 84 000 dollars

· Perte d’opportunités commerciales : dans 29 % cela peut représenter jusqu’à 203 000 dollars

· Interruption d’activité : jusqu’à 1,4 million de dollars, soit 30 %

· Total moyen : 551 000 dollars

· Dépenses indirectes : jusqu’à 69 000 dollars

· Atteinte à la réputation : jusqu’à 204 750 dollars

Pour télécharger le rapport complet sur le coût des incidents de sécurité, cliquez ici.

Les PME et les grandes entreprises ne sont pas logées à la même enseigne Neuf entreprises sur dix ayant participé à notre enquête ont fait état d’au moins un incident de sécurité. Cependant, tous les incidents n’ont pas le même niveau de gravité et n’aboutissent pas à la perte de données sensibles. Le plus souvent, un incident grave résulte d’une attaque de malware ou de phishing, de fuites imputables à des employés ou de l’exploitation de vulnérabilités dans des logiciels. L’estimation des coûts permet de considérer la gravité des incidents de sécurité informatique sous un nouvel angle et fait apparaître une perspective légèrement différente entre les PME et les entreprises.

Les grandes entreprises encourent un préjudice nettement plus élevé lorsqu’un incident de sécurité est le fait d’une défaillance d’une tierce partie, les autres types d’incidents coûteux étant liés à des fraudes commises par les employés, des cas de cyber espionnage ou des intrusions sur le réseau. Les PME tendent à subir un préjudice important sur pratiquement tous les types d’incidents, qu’il s’agisse d’espionnage, d’attaques DDoS ou de phishing.


Méthodologie « Rares sont les rapports sur les conséquences des incidents de sécurité informatique fournissant une estimation concrète des pertes financières. Il est donc difficile de mettre au point une méthode fiable de calcul du coût moyen mais nous savions que cela était nécessaire pour faire le lien entre le paysage théorique des menaces pour les entreprises et la pratique. En conséquence, nous avons dressé la liste des menaces qui causent le plus de dommages dans les entreprises et auxquelles, selon nous, celles-ci doivent accorder la plus extrême attention », commente Brian Burke, chef de l’équipe Veille de marchés de Kaspersky Lab.

Les méthodes de calcul employées ici s’appuient sur les données des années précédentes. Elles déterminent les domaines où les entreprises enregistrent des dépenses, voire un préjudice financier à la suite d’un incident. Généralement, ces entreprises voient augmenter leur budget consacré aux services de professionnels (experts en informatique, juristes, consultants, etc.), et subissent un manque à gagner en raison de la perte d’opportunités commerciales ou de l’interruption de leur activité.

La probabilité de chacune de ces conséquences prise séparément varie également, ce qu’il convient de prendre en compte, tout comme la taille de l’entreprise. Une méthode similaire a été utilisée pour l’estimation des dépenses indirectes, c’est-à-dire le budget affecté par les entreprises après la reprise sur incident mais néanmoins lié à l’incident lui-même. C’est ainsi que, outre les chiffres mentionnés plus hauts, les entreprises dépensent en général de 8 000 dollars (PME) à 69 000 dollars (grandes entreprises) en frais de personnel, de formation et de mise à niveau des infrastructures.




Voir les articles précédents

    

Voir les articles suivants