A l’occasion de la première édition de ses Universités, le CRiP a commandité une étude sur le coût des cyberattaques en France au cabinet Asterès. Celui-ci l’évalue à 2 milliards d’euros annuel et relève d’autres chiffres qui interrogent.
Le cabinet a concentré ses efforts sur les intrusions informatiques, malwares et attaques par déni de services, écartant du périmètre de sa réflexion les purs sujets d’ingénieries sociales comme les arnaques au président, même si ceux-ci utilisent régulièrement des approches hybrides « outillées » par le numérique pour parvenir à leur fin. Pour son évaluation, le cabinet s’est à la fois appuyé sur une revue globale des autres études menées sur le sujet dans le monde, les ramenant aux réalités de l’économie française, et à une enquête menée directement auprès des 13 000 membres du CRiP, eux-mêmes.
L’Anssi ne verrait que 0,2% des attaques
« J’ai demandé la réalisation de cette étude suite à l’engouement des membres du CRiP réunis dans les groupes cybersécurité et résilience. Il y avait beaucoup d’appétence pour une enquête sur le périmètre précis de la France, ce qui est assez rare comme niveau d’observation. Nous venons de la présenter pour le lancement des universités lundi soir, car nous avons fait un important focus sur la cybersécurité cette année. Nous avons notamment fait venir des entreprises israéliennes et l’ancien directeurs des systèmes d’information de l’armée israélienne pour évoquer la question de la gestion de crise » explique Sylvie Roche, directrice du CRiP.
Le coût global de ces attaques réussies est impressionnant, mais il n’est pas en soi l’indicateur qui fera le plus réfléchir les membres du CRiP. Le cabinet Anterès amène en effet des constatations supplémentaires intéressantes en essayant de calculer un coût moyen pour une cyberattaque réussie, par rapport aux 385 000 évènements recensés en 2022. Ainsi, 43% des organisations toutes tailles confondues ont donc subi une moyenne de 4,3 cyberattaques au cours des douze derniers mois. D’après l’estimation du cabinet, les 831 attaques signalées à l’Agence nationale de la sécurité des systèmes d’information (Anssi) en 2022 ne représenteraient donc que 0,2% du volume total. A ce titre, le coût moyen estimé s’élèverait à 59 000 euros. Cela peut paraître faible, mais intègre en fait des différences extrêmes quand ce sont des organisations de grandes tailles qui sont touchées. Pour celles-ci, le coût peut en effet aller jusqu’à 10 millions d’euros, avec un coût moyen par attaque plus proche des 225 000 euros.
« Ce qui est marquant, c’est le consensus sur l’ampleur des cyberattaques et la taille des organisations qui sont touchées chaque année. Entre 45 et 60% ont déjà subi une attaque au cours des 12 derniers mois, de la PME au grand groupe, on reste toujours sur les mêmes ordres de grandeur » commente Guillaume Moukala Same, l’un des deux économistes auteur de l’étude Asterès.
A lire aussi : Cybersécurité : face aux nouveaux ransomwares, les entreprises peuvent s’inspirer des « histoires vraies »
La lourde question des rançons
Au-delà de la question du coût unitaire, et de la difficulté de donner du sens à des moyennes, ce sont les postes de coût qui s’avèrent révélateurs. On apprend ainsi que ce coût moyen se décompose entre un coût direct, à hauteur de 44% du montant, qui comptabilise les ressources allouées à la résolution de la crise, comme la mobilisation des équipes internes et des services d’experts, voire d’avocats, auquel il faut ajouter les pertes de productivité (12%). Mais surtout, les 44% restant sont composés par le paiement des rançons.
Malgré l’avertissement des autorités sur les risques à payer une rançon, les entreprises semblent donc s’y résoudre régulièrement. Sur le sujet, le cabinet Anterès se base sur plusieurs chiffres complémentaires, dont celui qui estime que 12% des cyberattaques conduisent au paiement d’une rançon d’après une étude menée par Hiscox. Parmi les organisations ayant subi au moins une cyberattaque au cours des douze derniers mois, 19% ont été victimes d’une attaque par rançongiciel… et sur ce chiffre, 62% se sont résolues à payer !
« Le paiement de rançon est fréquent dans l’espoir de faire gagner du temps, face à l’urgence et aux difficultés immédiates » note Guillaume Moukala Same, bien que les résultats de l’étude ne permettent pas de montrer l’efficacité de tels paiements pour reprendre son activité.
La répartition des budgets IT interrogée
Concernant les pertes opérationnelles, le cabinet Asterès estime que « 216 heures de travail sont définitivement perdues en moyenne par cyberattaque réussie ». S’inspirant des études réalisées sur la récupération du temps de travail dans le cadre des arrêts maladies en France, le cabinet fait également « l’hypothèse que seulement 44% des pertes dues à l’interruption de l’activité sont définitivement perdues, le reste étant compensé par une augmentation temporaire de la charge de travail ». Encore une fois, il s’agit là de chiffres moyens, cachant donc les réalités disparates des entreprises qui peinent très fortement à se remettre d’une telle interruption d’activités ou celles qui les encaissent mieux.
Pour Sylvie Roche, les chiffres avancés doivent faire réfléchir : « Le message que l’on estime important de faire passer, c’est qu’aujourd’hui 90% des budgets IT sont déployés dans la prévention et comparativement il y a peu de moyens investis dans la préparation réelle à la crise, à la réaction en cas d’attaque. Or, malheureusement, on sait qu’il y aura des cyberattaques abouties et réussies sur chaque organisation. Donc la prévention ne suffit pas : il faut penser se donner les moyens de gérer la crise en amont ». Tout en restant humble sur le rôle que peut jouer l’association, la directrice du CRiP note que les groupes de travail consacrés à la cybersécurité et à la résilience ne manqueront pas de s’emparer des problématiques évoqués, l’étude permettant de nouer le dialogue et de faciliter les discussions autour d’un sujet sur lequel il est notoirement compliqué de pousser les entreprises à s’exprimer. En cela, la promesse de partage et de confrontation des universités du CRiP est donc bien tenue !