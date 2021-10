Coûts des partenariats : les incidents de sécurité impliquant des tiers en tête des failles les plus coûteuses pour les entreprises en 2021

octobre 2021 par Kaspersky

A la veille des Assises de la Sécurité, la dernière édition du rapport annuel IT Security Economics de Kaspersky révèle la gravité croissante des incidents de cybersécurité qui touchent les entreprises via les fournisseurs avec lesquels elles partagent des données. Alors que ce type d’événement ne figurait même pas dans le top 5 des incidents l’année dernière, il s’avère le plus coûteux en 2021, avec un impact financier moyen atteignant 1,4 million de dollars par entreprise dans le monde, contre près de 2 millions de dollars en Europe. Le classement général des pertes dues aux différents types d’attaques a également beaucoup évolué depuis 2020.

Les attaques qui touchent des entreprises internationales par l’intermédiaire de leurs sous-traitants ont clairement tendance à se multiplier. Les chercheurs de Kaspersky le redoutaient dans leurs prédictions sur l’évolution du paysage de la cybersécurité depuis quelques années et c’est devenu réalité. Puisque les entreprises communiquent généralement des données à plusieurs tiers (prestataires de services, partenaires, fournisseurs, filiales, etc.), elles doivent prendre en compte non seulement les risques de cybersécurité qui affectent leur infrastructure informatique, mais aussi ceux pouvant provenir de l’extérieur.

Selon l’étude, un tiers (32 %) des grandes entreprises dans le monde ont subi des attaques impliquant des données partagées avec des fournisseurs, contre près de 28% à l’échelle européenne. Par rapport aux 33 % du rapport 2020, il n’y a donc pas eu de changement significatif. L’impact financier de ce type d’incident reste également le même que l’année dernière (1,4 million de dollars). En revanche, il ne figurait alors qu’en 13e position du classement des pertes moyennes pour toutes les formes d’attaques.

Les conséquences financières se sont réduites pour la majorité des autres types d’attaques, notamment la perte physique d’appareils appartenant à l’entreprise (près de 1,1 million de dollars), les attaques de cryptomining (884 000 dollars ) et l’utilisation inappropriée des ressources informatiques par des employés (1 150 000 dollars). Leur position dans le classement a également changé et reflète le bouleversement entraîné par la pandémie dans le paysage de la cybersécurité des entreprises.

Il en résulte aussi une chute de l’impact financier moyen d’une attaque, qui affiche une baisse notable de 15 % par rapport aux résultats de l’année dernière (927 000 dollars en 2021 contre 1,09 million de dollars en 2020) et sont même plus faibles qu’en 2017 (992 000 dollars).

Attention toutefois, la tendance n’est pas la même en Europe, avec au contraire une croissance de l’impact financier moyen d’une attaque : près de 1,1 million de dollars contre 839 000 dollars en 2020.

Un chiffre qu’il est intéressant de mentionner, c’est que 41% des entreprises européennes ont réussi à éviter de communiquer sur leur faille de sécurité. Une stratégie pas toujours payante puisque même si la communication peut avoir des impacts négatifs sur la réputation, le rapport IT Security Economics de l’année dernière indiquait au contraire que les entreprises qui communiquaient proactivement avaient tendance à réduire leurs coûts vis-à-vis de cette cyberattaque, de près de 40%.

« La gravité des attaques démontre que lorsque les entreprises évaluent leurs besoins en cybersécurité, il faut qu’elles prennent en compte le risque d’une fuite impliquant des données partagées avec des fournisseurs. La pandémie a modifié le contexte des menaces et les entreprises doivent être prêtes à s’y adapter. Cela passe par l’évaluation de leurs fournisseurs en fonction de leur catégorie professionnelle et de la complexité de leur accès (qu’ils traitent des données et des infrastructures sensibles ou non), et l’application d’exigences de sécurité en conséquence. Les entreprises doivent s’assurer qu’elles ne partagent des données qu’avec des tiers de confiance et étendre leurs exigences de sécurité existantes aux fournisseurs. Par conséquent, pour le transfert de données ou d’informations confidentielles, les fournisseurs seront tenus de confirmer leur habilitation en présentant la totalité des documents et certifications nécessaires (comme SOC 2). Dans les cas très sensibles, nous recommandons en outre de procéder à un audit de conformité préalable d’un fournisseur avant de signer tout contrat », souligne Evgeniya Naumova, vice-présidente exécutive du département Corporate Business, Kaspersky.

Pour réduire les risques d’attaques et de fuites de données, les entreprises ont tout intérêt à utiliser une protection efficace des terminaux avec des capacités de détection et de réponse aux menaces. De plus, les services managés de protection faciliteront les investigations sur les attaques et le choix de la meilleure réaction. Ce niveau essentiel de protection des terminaux est inclus dans la solution Kaspersky Optimum Security. Pour les entreprises dont la fonction de sécurité informatique est à maturité, Kaspersky Expert Security fournit en outre des capacités anti-APT, les toutes dernières données en matière de menaces et une formation professionnelle dédiée.

Pour en savoir plus sur les coûts et les budgets de la sécurité informatique dans les entreprises en 2021, visitez le site interactif Kaspersky IT Security Calculator. Le rapport complet « Économie de la sécurité informatique 2021 : gérer la tendance à la complexité croissante de l’informatique » est téléchargeable ici.*

*Rapport complet en français disponible sur demande.