Augmentation du coût des cyber-attaques

L’étude ‘Cost of cyber crime’ réalisée par Ponemon indique une croissance constante du coût des cyber-attaques pour les entreprises ciblées. Cette hausse est de 30 pour cent par rapport à 2012.

A la demande de HP Security, le Ponemon Institute a examiné dans le détail les conséquences des cyber-attaques qu’ont subies 234 entreprises dans six pays, à savoir les Etats-Unis, la Grande-Bretagne, l’Allemagne, l’Australie, le Japon et la France. Le coût moyen pour une entreprise visée est de quelque 7,2 millions de dollars par an, en hausse de 30 pour cent par rapport à l’année dernière, avec une fourchette de coûts comprise entre 375.000 et 58 millions de dollars. Ce sont les entreprises australiennes qui s’en tirent le mieux avec un coût moyen de 3,6 millions de dollars, alors que les entreprises américaines en sont à 11,6 millions de dollars. Ces dernières sont aussi davantage les victimes des attaques les plus coûteuses, comme les pratiques malfaisantes d’initiés, les attaques ‘déni de service’ et les incidents basés web. Le montant des dommages est souvent supérieur dans les grandes sociétés, mais les entreprises plus modestes subissent souvent à plus long terme davantage de dégâts suite à une attaque.

De l’étude, il ressort que le principal poste de frais concerne le manque à gagner direct au niveau du chiffre d’affaires et du bénéfice en raison d’une interruption des services, suivie par les effets d’une perte de données. Ici, tant les coûts internes (réparations, etc.) qu’externes (amendes, procès, manque à gagner sur de futurs produits, etc.) jouent un rôle. D’autres frais portent sur le redressement de l’image de marque, ainsi que sur les dépenses vis-à-vis de tiers (comme le contrôle de l’état du crédit des clients touchés).

Plus longtemps une cyber-attaque demeure inaperçue, plus les coûts générés sont élevés. L’étude établit une corrélation entre des coûts inférieurs et un investissement ciblé dans les systèmes détectant les problèmes, ce qui assure aussi un meilleur rendement des investissements dans des technologies de protection pertinentes.

Secteur des assurances embryonnaire

Aujourd’hui, l’on enregistre une croissance de l’intérêt en faveur d’assurances contre les conséquences des cyber-attaques. Outre le remplacement classique du matériel, l’on envisage aussi la protection contre les suppléments de coût et les pertes.

Le problème ici, c’est qu’il s’agit d’une offre embryonnaire aux défis multiples, selon JLT Speciality Ltd, une entreprise qui conseille les entreprises intéressées. Ces dernières doivent en effet spécifier ce contre quoi elles veulent s’assurer et être certaines que la police les protège vraiment bien. De plus, une telle assurance nécessite une bonne collaboration avec le département ICT, ainsi qu’une solide gestion des risques et ce, tout en prévoyant une mise à jour constante en fonction des dangers et des menaces, ainsi que des changements de la situation ICT chez l’assuré. En outre, l’assureur ne dispose encore que d’insuffisamment de données historiques pour savoir si le risque d’un sinistre est réellement important ou pour connaître les possibilités d’abus ou de négligence chez l’assuré. Qui plus est, l’on ne propose manifestement aujourd’hui pas encore de réassurance – ou à peine – pour ces services d’assurance, de sorte que l’assureur supporte encore en grande partie lui-même les risques. Les personnes intéressées doivent donc étudier dans le détail les produits proposés et ceux qui les présentent.