Partager

D’après une récente étude du cabinet Juniper Research, les coûts liés à la cybercriminalité au niveau mondial devraient augmenter de manière drastique pour atteindre la somme de 2100 milliards de dollars (USD) d’ici 2019 [Bilan, 2015].  Les dépenses quant à elles, devront être multipliées par 4 par rapport à 2015.

Les cyberattaques toujours plus présentes

Avec l’adoption massive du Cloud, aussi bien dans le monde privé que dans le monde professionnel, les risques ont augmenté de manière considérable et les attaques se sont multipliées. De nouvelles formes de menaces sont également apparues visant les appareils mobiles et l’internet des objets. Alors que la digitalisation des entreprises et des individus est grandissante, ces menaces doivent faire l’objet d’une attention particulière.

Quelles conséquences en cas d’attaque ?

Le coût lié à une attaque informatique dépend de nombreux facteurs tels que : la taille de la société, le temps d’arrêt de ses services, du temps nécessaire de « désinfection » de ses serveurs etc…

D’une manière générale, en cas d’attaque, les entreprises doivent faire face aux conséquences suivantes   :

  • Perte de revenu pour cause d’indisponibilité de services ou de production
  • Perte liée à la dégradation de l’image de la société (départ de clients, diminution de la croissance)
  • Dépenses nécessaires pour l’identification du problème et pour la résolution du problème
  • Dépenses complémentaires pour le renforcement de la sécurité (souvent suite à une prise de conscience tardive)
  • Dédommagement aux clients lésés (suite à un dépassement de SLA, fuite de données etc.)

Cette liste, loin d’être exhaustive, permet d’avoir déjà un bon aperçu de la gravité économique et d’image que peut avoir une attaque informatique sur une société.

Estimer les coûts en cas d’attaque

En cas d’incidents informatiques, le matériel de votre entreprise peut être endommagé ou alors l’activité de votre entreprise peut cesser pendant une période donnée. Le coût des dommages sur des actifs matériels est facilement calculable mais qu’en est-il des coûts associés à des pannes qui conduiraient à un temps d’arrêt opérationnel ? Par exemple, le Groupe Saint Gobain a subi une attaque suite à la propagation d’un ransomware et le coût des dégâts liés à l’attaque est estimé à 250 millions d’euros [Le Monde informatique, 2017]. L’entreprise a été paralysée pendant plusieurs jours avant de pouvoir reprendre son activité.

Enfin, la gestion des risques d’attaques informatiques est un mécanisme important pour estimer les dégâts d’une attaque informatique. Afin d’optimiser cette gestion des risques, il est essentiel d’être capable d’identifier vos données sensibles. Pour faire cela, les dirigeants doivent impulser la mise en œuvre d’un système de classification des données (ex. public, restreint, confidentiel, secret). Une fois cette classification faite, elle pourra être utilisée pour optimiser le processus de gestion des risques. Ce processus sera utile pour estimer le coût d’un incident en cas de vol de tel type de données par exemple, mais aussi pour allouer le budget de sécurité aux domaines importants de l’entreprise.

Sensibiliser ses collaborateurs pour réduire les risques

L’étude de Ernst & Young intitulée « Global Information Security Survey » est inquiétante car elle met en avant un manque de sensibilisation des comités de direction et des conseils d’administration aux problématiques liées à la sécurité informatique et à la protection des données. Ce manque de sensibilisation est dû au fait qu’il est très rare que des responsables sécurité IT siègent au comité de direction. La cause directe de cette problématique est souvent un manque de moyens budgétaires pour la sécurité IT ce qui rend très difficile la mise en place d’une politique de sécurité adéquate au business de l’entreprise.

Une prise de conscience par le comité de direction et le conseil d’administration sur l’importance d’instaurer une politique de vigilance est nécessaire afin de protéger les données critiques de l’entreprise. En ce sens, les directions, encouragées par les nouvelles réglementations (RGPD pour l’Union européenne, LPD pour la Suisse), doivent désormais impulser la politique de vigilance en matière d’exploitation des données personnelles.

Cette mise en œuvre de la politique de sécurité de l’entreprise aura un gain bénéfique à deux niveaux :

  • D’une part, cette initiative représente un avantage compétitif car les clients sont de plus en plus sensibles à ce sujet
  • D’autre part, en impulsant la politique de vigilance, vous sensibilisez vos collaborateurs et donc réduisez le risque d’intrusion en cas d’attaque

Comment mettre en place une politique de sécurité efficace ? Découvrez dans cet article les 5 erreurs à ne pas commettre avant de vous lancer !

On ne peut plus le nier, les attaques informatiques ciblent toutes entreprises quelle que soit leur taille et les conséquences de ces attaques peuvent être très couteuses. Au niveau mondial, les attaques concernent aujourd’hui à 43 % les PME et sont souvent désastreuses pour ces dernières. Il est impératif que les décisionnaires (CEO, RH, Comité de direction, Conseil d’administration etc.) soient conscients de l’importance de la mise en place d’une politique de sécurité de l’information comprenant un processus de gestion des risques et des incidents. Les coûts de mise en place de tels processus ne sont certes pas négligeables mais ils seront moindres comparés aux coûts potentiels d’une attaque.

Suivez-nous sur