HP a sponsorisé une étude du cabinet Ponemon afin d’évaluer le coût du cybercrime pour les entreprises.
À travers ces investigations, le géant informatique vise d’une part à sensibiliser les dirigeants sur la nécessité d’investir pour protéger leur système d’information; d’autre part, à déterminer le niveau des investissements et les points de vigilance.
Les représentants de Ponemon reconnaissent volontiers que l’exercice a ses limites. Cependant, il donne une idée de l’importance du phénomène, après les enquêtes de terrain. Le panel de 234 entreprises (États-Unis, Royaume-Uni, Japon, Allemagne, France et Australie) représente les divers secteurs économiques pour des entreprises plutôt au-delà de 2 000 salariés (seulement 13 % au-dessous).
Le cybercrime représente un préjudice de 7,2 millions de dollars par an en moyenne, pour une enveloppe individuelle allant de 375 387 à 58 millions de dollars, avec une dépense médiane de 5,479 millions. Sans polémiquer sur les dollars et la précision des chiffres (que Ponemon présente comme la mesure de ces quelques entreprises révélant une tendance, et non un résultat absolu), on constate qu’il s’agit néanmoins de sommes conséquentes.
Les sociétés de l’échantillon ont enregistré un total de 343 attaques réussies par semaine, soit 1,4 par organisation ! Et lorsqu’on sait qu’un grand nombre d’attaques ne sont pas détectées, l’inquiétude devient légitime.
Lors de la même enquête en 2012, le total s’élevait à « seulement » à 262 attaques réussies par semaine. Le cybercrime se porte donc plutôt bien !
En fait, les services informatiques ont généralement déployé des anti-virus et anti-malwares plutôt efficaces pour repérer la plupart d’entre elles. D’autant plus que les DSI automatisent ou sensibilisent les utilisateurs pour effectuer les mises à jour de ces outils. Plus encore, certains logiciels serveurs veillent aussi au grain dans le système d’information.
Les “malware insiders” (employé ou personne autorisée utilisant son accès aux données de façon nuisible ou illégale) arrivent en tête des attaques qui coûtent le plus aux entreprises. Sur l’évaluation annuelle moyenne des coûts liés aux attaques, ces attaques reviennent à 154 453 dollars par an pour chaque entreprise de l’échantillon. Un état de fait qui perdure depuis les débuts de l’informatique. Cette plaie béante a vraiment du mal à se refermer…
Juste derrière, le phishing (usurpation d’identité) et les équipements volés dépassent la somme de 80 000 dollars par an. Quant aux virus-vers-chevaux de Troie et aux malwares, il arrive en queue de classement respectivement à 630 et 491 dollars !
Parmi les “coûts externes“ liés aux attaques, les sondés citent : l’interruption d’une activité de l’entreprise (38 %), la perte d’informations (35 %), la perte de revenus (22 %) ou les équipements endommagés (5%).
Quant aux coûts internes de lutte contre les attaques, la détection (29 %) et la reprise après incident (25 %) représentent les dépenses les plus importantes. L’endiguement (arrêter l’expansion d’une attaque, 15 %) ou l’investigation (14 %) devancent la gestion des incidents (10 %). On se demande alors si un schéma de prévention volontariste donnerait les mêmes résultats…
Suite aux réponses, le cabinet Ponemon a dressé une liste des 7 technologies de sécurité déployées. On y retrouve le déploiement global d’outils de GRC (gestion de la gouvernance, du risque et de la conformité ; à 52 %), les firewall et contrôles périmétriques évolués (à 51 %) ou la prévention de pertes de données (à 49 %).
Pour Ponemon, la situation pourrait être rapidement améliorée au regard de l’efficacité de ces solutions pour épargner des pertes financières liées aux attaques. Ainsi, les systèmes de Security Intelligence auraient déjà préservé près de 2 milliards de dollars aux entreprises du panel. Les outils de gouvernance des accès auraient fait économiser plus de 1,25 milliard. Aux troisième et quatrième places, les outils de GRC affichent 1,225 milliard de pertes financières épargnées contre plus d’un milliard pour la prévention de perte de données.
Crédit photo : © drx Fotolia.com
Voir aussi
Silicon.fr étend son site dédié à l’emploi IT
Silicon.fr en direct sur les smartphones et tablettes
La Cour des comptes attire l'attention sur le risque d'affaiblissement d'Etalab, privé, ces dernières années,…
Missions historiques de la Dinum, l'ouverture des données publiques et la promotion des logiciels libres…
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…
L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…
Pour dissuader le CISPE d'un accord avec Microsoft, Google aurait mis près de 500 M€…