La cybercriminalité coûte toujours plus aux entreprises

La tenue cette semaine des Assises de la sécurité donne l’occasion aux sociétés de faire le point sur l’efficacité de leurs systèmes. Et il y a urgence. 100% des sites web testés sont vulnérables et 90% étaient déjà en ligne au moment des audits de sécurité, constate une étude de Wavestone, réalisée auprès de 155 sites web de grandes entreprises françaises. Plus inquiétant, 50% des sites accessibles à tous ont au moins une faille grave, tous secteurs confondus, et 40% des sites ayant déjà subi un audit de sécurité sont encore vulnérables. Les sites web internes d’entreprises s’avèrent encore plus fragiles, avec au moins une faille grave pour 68% d’entre eux.

Un chiffrement de mauvaise qualité des informations constitue le principal risque (cité par 83% des répondants). Plus grave, un attaquant peut accéder à des données d’un autre utilisateur ou à des fonctions du site non autorisées (45%), et peut même faire réaliser des actions non prévues par le site (34%). Et dans 25% des cas, l’attaquant peut collecter toutes les données du site.

Au-delà des risques pour l’entreprise, la cybercriminalité a un coût élevé. Au niveau mondial, il se chiffre à 11,7 millions de dollars par entreprise en 2017 (+23% en un an et +62% en cinq ans), selon une étude d’Accenture réalisée par le Ponemon Institute auprès de 254 organisations dans le monde. Il a notamment bondi de 42% en Allemagne à 11,5 millions de dollars. Le coût moyen le plus élevé reste aux Etats-Unis avec 21 millions de dollars par acte criminel.

Des chiffres en forte augmentation. Une société subit en moyenne 130 attaques de sécurité dans l’année (+27,4% en un an et un quasi-doublement en cinq ans). En particulier les services financiers et les énergéticiens, secteurs les plus touchés, avec un coût moyen annuel, respectivement de 18 millions et 17 millions de dollars. En plus de la charge financière, ces accidents sont longs à traiter, 50 jours en moyenne pour les attaques venant de l’intérieur et 23 jours pour les ransomware (logiciels de rançons). Sans compter les autres conséquences pour la société. Si les perturbations de l’activité sont citées à 33% (contre 39% en 2015), la perte d’information, évoquée par 43% des répondants, constitue le plus grand dommage.

Comment réagir face à ces attaques ? Accenture recommande d’investir en amont dans le renseignement en matière de sécurité et la gestion avancée des accès ; d’effectuer des tests de résistance extrêmes ; et d’investir dans des innovations de rupture.