Cyberattaques : combien coûte la négligence ?

2 Mai 2016

2 min de lecture

Par négligence ou par méconnaissance, un grand nombre d’entreprises sous-investit dans la sécurité, s’exposant à des attaques qui peuvent vite se révéler onéreuses, voire ruineuses. Quelles sont les conséquences financières d’une cyberattaque, et la protection du SI est-elle si onéreuse à cet égard ? Combien peut coûter une attaque informatique ?

Cyberattaques : combien coûte la négligence ? (Desktop)

Un incident de sécurité coûterait en moyenne 551 000 dollars à une grande entreprise et 38 000 dollars à une PME

Selon une enquête menée auprès de 5 500 entreprises de 25 pays par Kapersky et B2B International fin 2015, la nature des conséquences varie fortement. Dans le détail, on retrouve : jusqu’à 84 000 dollars pour les services (informatiques, juridiques, risques… pour 88% des sondés), des pertes d’opportunités commerciales jusqu’à 203 000 dollars, une interruption estimée jusqu’à 1,5 million de dollars, ou encore l’atteinte à la réputation pour 205 000 dollars.

La revue de l’IT (qui a rassemblé divers chiffres d’études) rapporte qu’une interruption de service informatique dure en moyenne 86 minutes, contre 97 minutes en 2010. Il semblerait donc que les mesures de sécurité déployées fassent baisser la moyenne, d’autant plus que le nombre d’attaques va croissant. En revanche, le coût moyen d’un incident serait de 7900 dollars par minute, soit un total de 690 000 dollars (plus élevé que les estimations de Kaspersky/B2B Labs), contre 505 000 dollars en 2010.

Relativement, la protection ne coûte pas si cher

Pourtant, le coût de la sécurité paraît plutôt modeste comparé à ces chiffres astronomiques. Ainsi, le coût d’un pare-feu physique est estimé entre 100 dollars (souvent intégré dans les routeurs) et jusqu’à 25 000 dollars pour des solutions plus complexes. Un pare-feu logiciel coûterait entre 5 et 15 dollars, avec une protection qualifiée de “moins sécurisée". Le système de chiffrement pour 235 dollars par poste de travail est relativement raisonnable, lorsque l’on pense au coût d’une fuite ou d’un vol de données.

Parce que des mesures de prévention peuvent aussi renforcer la protection et éliminer en amont les attaques potentielles, l’installation d’un système de détection ou de prévention d’intrusion (IDS/IPS) s’avère indispensable. Surtout au coût estimé entre 500 et 600 dollars par mois (Revue de L’IT). Les attaques réussies passent souvent par le vol ou l’usurpation d’identité ouvrant l’accès aux applications de l’entreprise, et à son réseau. Pour 100 000 à 200 000 dollars, l’entreprise pourra déployer une solution de gestion des identités et des accès, auxquels elle devra ajouter 35 000 dollars de maintenance par an.

schema craie risk insurance

Enfin, les postes de travail nécessitent également d’être équipés. Là encore, les coûts restent raisonnables : un antivirus ou un antispam coûtent entre 25 et 50 dollars par an, la sécurisation équivalente pour d’un mobile revient à 50-100 dollars par an, tandis que le chiffrement des communications par VPN (réseau privé virtuel) nécessite un investissement de 1000 dollars de matériel pour 10 utilisateurs et de 80 à 100 dollars par poste.

Vers une politique globale de sécurité

Bien entendu, toutes ces mesures et solutions de sécurité doivent faire partie d’une politique globale, sous la responsabilité d’un RSSI (responsable de la sécurité du système d’information - interne ou externe) à même de mettre harmonieusement en musique ces divers instruments.

Certes, tous ces montants additionnés peuvent sembler élevés. Toutefois, si l’on estime qu’une entreprise est victime de plusieurs attaques par mois (sans parler de celles qu’elle ne détecte pas...) dont le coût unitaire a été évoqué plus haut, le jeu n’en vaut-il pas la chandelle ?

Imprimer
Cyber Security eBook