Selon les déclarations des participants à l’étude, les entreprises pourraient perdre 35 millions de dollars au cours des 24 prochains mois. Cette estimation se base sur un coût total possible de 398 millions de dollars par entreprise.

Alors que l’éditeur s’implante actuellement sur le marché français, l’ensemble des conclusions de l’étude s’appuie sur les résultats d’une première enquête menée par Ponemon Institute auprès des 2000 plus grandes entreprises mondiales, basées en Australie, en France, en Allemagne, au Royaume-Uni et aux États-Unis.

Toutes les entreprises et les administrations s’appuient sur des technologies de sécurité critiques pour veiller à ce que leurs communications et leurs transactions réalisées sur Internet, ainsi que leurs réseaux restent « de confiance », privés et conformes aux réglementations. L’essentiel de ces technologies est constitué de clés de chiffrement et de certificats numériques qui sécurisent les fondements du monde moderne - des communications sécurisées, des paiements par carte bancaire, des achats en ligne, des Smartphones et du cloud computing.

Pourtant, ne pas gérer les certificats et les clés crée des vulnérabilités que les cybercriminels exploitent pour pénétrer les réseaux, voler des données et perturber les activités critiques des entreprises. Jusqu’à présent, l’impact financier lié à l’absence de notion de confiance n’avait jamais été évalué et s’appuyait uniquement sur des cas anecdotiques. Ce rapport fournit des données précises sur les risques financiers.

« En partenariat avec Venafi, nous avons décidé de répondre pour la première fois à l’une des principales interrogations en matière de conformité et de sécurité de l’information : quelles sont les conséquences financières d’une perte de confiance face aux attaques ciblées qui exploitent l’absence ou la mauvaise gestion des clés de chiffrement et des certificats », explique Larry Ponemon, président et fondateur du Ponemon Institute Research. « L’entreprise s’appuie sur des clés cryptographiques et des certificats pour établir un socle de confiance pour l’ensemble de ses activités, sur Internet et désormais jusque dans le Cloud. Pourtant les cybercriminels détournent ces outils de confiance à un rythme alarmant » poursuit-il.

« Non seulement cette nouvelle étude nous permet d’évaluer le coût des attaques sur ces outils de confiance, mais explique aussi comment une défaillance de la gestion des clés et des certificats ouvre la porte aux cybercriminels. Par exemple, plus de la moitié des entreprises interrogées ne sait pas combien de clés et de certificats elles ont ; ce qui représente à la fois un grave problème de sécurité et un objectif de GRC (Governance, Risk et Compliance) auquel les entreprises doivent répondre avec des contrôles appropriés » complète Larry Ponemon. « Il n’est donc pas surprenant que toutes les entreprises interrogées aient subi une attaque liée à une faille du système de gestion des clés et des certificats ou que ces attaques puissent coûter en moyenne 35 millions de dollars aux entreprises, et jusqu’à 398 millions de dollars pour certaines. Ce niveau de risque et le degré de faisabilité nécessitent de prendre des mesures rapidement ».

L’étude a notamment révélé de nombreux résultats intéressants, parmi lesquels :

• Des coûts élevés – les entreprises prennent le risque de perdre en moyenne 35 millions de dollars dans les 24 mois à venir à cause des attaques liées aux systèmes de confiance. Sachant que ce risque peut atteindre près de 400 millions de dollars par entreprise.

• Des attaques évitables – facilement évitables, les attaques des systèmes cryptographiques sont nombreuses et parmi les plus couteuses, soit une moyenne de 125 millions de dollars par incident et par entreprise.

• Des conséquences pour les autorités de certification (organisme de confiance qui délivre et gère les certificats électroniques) - les attaques contre les autorités de certification de type phishing ou man-in-the-middle représentent un coût d’une moyenne de 73 millions de dollars par attaque et par entreprise.

• Aucune entreprise à l’abri - toutes les entreprises interrogées ont subi au moins une attaque liée au manque de gestion des clés et des certificats.

En plus de révéler l’impact financier lié au manque de contrôle des systèmes de confiance, l’étude met également en évidence l’ampleur du défi qui attend les entreprises en matière de gestion de leurs clés de chiffrement et des certificats, comme le souligne ces résultats :

• Un enjeu majeur qui ne peut être géré manuellement - les entreprises estiment qu’elles ont en moyenne 17 807 clés et certificats déployés au sein de leur infrastructure.

• Un risque sous-évalué - 51 % des entreprises interrogées ne savent pas combien elles ont de clés et de certificats présents au sein de leur infrastructure.

• Le cloud computing représente un danger évident - les entreprises interrogées pensent que les attaques ciblant les clés SSH (Secure Shell) – la technologie de base utilisée pour établir la confiance et les connexions avec les services cloud d’Amazon et Microsoft – représentent la menace la plus inquiétante lié au manque de contrôle des systèmes de confiance.

• Nécessité d’établir un contrôle des systèmes de confiance - 59 % des entreprises estiment que si elles mettent en œuvre une gestion efficace des clés et des certificats avant d’utiliser de nouvelles technologies de chiffrement et d’authentification, elles reprendront le contrôle sur le niveau de confiance et élimineront les risques.

« Les cybercriminels comprennent à quel point notre capacité à contrôler les systèmes de confiance est devenue fragile, et par conséquent, ils continuent à cibler les failles de la gestion des clés et des certificats » précise Jeff Hudson, CEO de Venafi. « Pour l’entreprise, cela entraine des interruptions de l’activité imprévues, des pertes de productivité, des conséquences sur l’image de marque et des vols de données. Jusqu’à aujourd’hui, l’impact financier, l’ampleur des défis à relever et la prise de conscience étaient méconnus et non quantifiés ».

« La confiance est le fondement de toutes les relations, y compris celles qui existent entre les entreprises et leurs marchés. Alors que notre monde devient plus connecté et dépendant de la technologie, les technologies dites de confiance doivent être une priorité pour tous les DSI, RSSI et responsables informatiques, car lorsque la confiance est compromise, l’activité s’arrête. Notre souhait est que cette étude apporte la preuve et motive les entreprises et les responsables informatiques à prendre des mesures. »