BFM Business

Cyberattaques : une facture moyenne de 8,6 millions pour les entreprises françaises

Moins d’un tiers des entreprises françaises considère la cybersécurité comme un enjeu prioritaire.

Moins d’un tiers des entreprises françaises considère la cybersécurité comme un enjeu prioritaire. - Rob Engelaar / ANP / AFP

Toujours plus sophistiquées, toujours plus ciblées, les attaques informatiques contre les entreprises, de toutes tailles, provoquent des dégâts de plus en plus lourds à assumer. Et ce n’est pas fini.

Malgré les mesures prises par les entreprises, en tout cas les plus grandes, le coût des attaques informatiques ne cesse d’augmenter. Toujours plus sophistiquées, ces attaques font de plus en plus de dégâts allant jusqu’à la paralysie de l’activité.

Selon la dernière étude internationale d'Accenture Security et du Ponemon Institute (2.600 experts et 355 grandes entreprises réalisant plus de 20 milliards de dollars de revenus annuels), la moyenne du coût d’une attaque est désormais de 13 millions de dollars, soit une augmentation de 27% sur un an. Ce coût additionne les sommes investies par les entreprises pour détecter les cyberattaques et les coûts pour réparer les dégâts.

C’est aux Etats-Unis que les entreprises touchées paient la facture la plus salée avec une moyenne de 27,4 millions de dollars (+29%), devant le Japon (13,6 millions) et l’Allemagne (13,1 millions). La France est 5e avec un coût moyen de 9,7 millions de dollars (8,6 millions d’euros) en augmentation de 23% en un an.

La nouveauté en 2018 est la concentration des attaques contre les systèmes industriels. Les pandémies WannaCry et NotPetya ont démontré que ces systèmes étaient vulnérables aux risques liés à la cybercriminalité.

Un coût de 10 000 à 100 000 euros pour les PME

Avec la digitalisation des entreprises et l'essor du cloud computing, l'exposition de ces équipements s'est encore accrue en 2018, alors mêmes que les attaques sont toujours plus ciblées et sophistiquées, avec l'ambition de maximiser leur impact sur le monde réel (coupures de courant, de distribution d’eau…)

On se souviendra longtemps de l’épisode Saint-Gobain qui avait dû arrêter ses systèmes suite à une attaque qui lui a finalement coûté 80 millions d’euros…

Grandes entreprises, industries mais les PME ne sont évidemment pas épargnées. En France, selon une étude Ifop pour Kasperky (éditeur de logiciel) 21 % d’entre elles ont été victimes d’une attaque l’an passé.

Le coût est assez variable puisque 64% des entreprises attaquées ont perdu moins de 10 000 euros, 14 % plus de 51 000 euros, et 6 % plus de 100 000 euros.

Les responsables identifient 5 risques principaux : les e-mails frauduleux (52 %), le piratage de données (51 %), les malwares (41 %), la perte ou le vol de matériel informatique (26 %) et la fraude-malversation-escroquerie (24 %).

Hygiène numérique

Si les risques sont donc bien connus, si les attaques sont de plus en plus médiatisées, les investissements peinent néanmoins à suivre.

Selon une étude d’Euler Hermes, seuls 19% des dirigeants de PME ont prévu des investissements dans la cybersécurité alors que c'est un sujet d'inquiétude pour 76% d'entre eux.

Si la question des ressources financières et humaines est centrale dans cette problématique, les experts du secteur prennent aussi leur part de responsabilité.

« Cette situation paradoxale tient probablement aux discours très alarmistes, mais peu concrets, qui ont été tenus ces dernières années par les pouvoirs publics comme par les professionnels de la cybersécurité : nous avons été trop théoriques dans nos explications. Ne sachant par où commencer pour améliorer leur sécurité informatique, les dirigeants ne font... rien », souligne Tanguy de Coatpont, DG France de Kaspersky Lab.

Et de rappeler que « de nombreuses mesures ultrabasiques peuvent être mises en œuvre pour lutter efficacement contre les attaques et réduire considérablement son risque ». Une bonne hygiène informatique (mots de passe solides, mises à jour fréquentes…) ne coûte en effet rien.

Tout comme la formation des salariés, souvent considérés comme le maillon faible en matière de sécurité. « Aujourd'hui, la moitié des entreprises ne forme pas ses employés à la sécurité informatique, alors que l'on sait parfaitement que les salariés constituent souvent un point faible majeur. A la condition d'être correctement formés et sensibilisés, les salariés – depuis l'assistant jusqu'au dirigeant - pourraient au contraire devenir la meilleure protection de l'entreprise », ajoute Tanguy de Coatpont.

Olivier CHICHEPORTICHE