Hausse du coût moyen des cyber incidents, secteur de la santé particulièrement touché, investissements en augmentation… Que peuvent nous enseigner les chiffres clés de 2022 pour anticiper l’année à venir ? Tour d’horizon.
Le nombre de cyberattaques ainsi que la quantité d’entreprises touchées est en constante augmentation. Selon Le Global Data Protection Index 2022 (GDPI) de Dell Technologies publié en décembre dernier, durant les 12 derniers mois, près de 86% des entreprises ont dû faire face à un cyber incident. Il est intéressant de constater que le coût de reprise des activités n’est pas le même selon la politique des entreprises. Celles qui ont opté pour un unique fournisseur de solution de protection ont un coût de reprise inférieure de 34% à celles qui ont une politique a plusieurs partenaires. En moyenne, le coût moyen d’un cyber incident pour une entreprise a passé la barre du million de dollars en 2022.
Face à cette hausse de la menace, près de 96% des dirigeants considèrent la résilience en matière de sécurité comme très importante, selon un rapport de Cisco présenté en fin d’année 2022. Pourtant, ils ne sont que 29% à estimer que leur entreprise est résiliente face à un cyber événement grave. “Pour pouvoir les relever efficacement, les entreprises doivent être en mesure d'anticiper, d'identifier et de résister aux cybermenaces et, en cas de violation, de s'en remettre rapidement. C'est en cela que consiste la résilience", a déclaré Helen Patton, CISO, Cisco Security Business Group.
Le rapport élabore ainsi une méthodologie en sept points pour atteindre une forme de résilience en matière de sécurité :
- Un fort soutien de la part de la direction est nécessaire.
- La culture de sécurité doit être excellente.
- Du personnel et de ressources internes supplémentaires pour répondre aux incidents doivent être envisagés.
- Les infrastructures technologiques on-premise, ou dans le cloud doivent être mis en place.
- Un modèle mature de Zero Trust doit être mis en œuvre
- Des capacités avancées de détection et de réponse étendues.
- Mettre en place une convergence du réseau et de la sécurité dans une solution mature de services d'accès sécurisé dans le cloud.
« On ne le dira jamais assez : toutes les entreprises devraient se préparer à faire face à une attaque informatique. Car toutes, peu importe leur taille, sont susceptibles d’en subir une » précise Martin Bühler, Directeur de proALPHA France qui a publié une note “PME industrielles et cybersécurité : comment se protéger des cyberattaques, en 15 points ?”, le 12 décembre dernier.
Pourtant, certaines entreprises sont bien plus sensibles que d’autres. Selon un rapport d’Anozr Way datant de septembre dernier, une entreprise sur deux victimes de ransomwares en France comme en Europe est une TPE-PME. À noter la part importante du secteur public qui représente près de 30% de ces attaques à travers les collectivités, les établissements de santé, de l’enseignement supérieur ou encore les ministères.
Une étude récente de KPMG menée auprès de plus de 1800 cadres met en avant le fait que la sécurité de l’information est encore majoritairement (65%) perçue comme un risque à gérer plutôt qu’un accélérateur de business. Mais paradoxalement, dans une autre étude réalisée cette fois auprès de 1300 dirigeants d’entreprise, 77% estiment que la sécurité de l’information est une source potentielle d’avantages concurrentiels pour leur entreprise. Une dissonance qui implique de réconcilier vision stratégique et exécution, en 2023.
L’actualité le rappelle avec la cyberattaque d’importance sur l’Hôpital André Mignot du Chesnay-Rocquencourt au début du mois de décembre : la santé est un secteur à haut risque. Elle constitue l’industrie la plus ciblée par le ransomwares au cours du troisième trimestre 2022, selon les équipes de recherche de Check Point. Une autre étude récente de Ponemon Institute indique que les conséquences de cyberattaques dans ce secteur peuvent être dramatiques. Près de 20% des organisations ont signalé une augmentation du taux de mortalité des patients après avoir été victimes d'une cyberattaque importante. Et 57% déclarent quant à elles que les patients ont pâti de la situation.
De 100 millions d’euros sur la première moitié 2021 à près de 630 millions à la même période de 2022, la cybersécurité a connu une très forte hausse d’attractivité des investissements l’an passé en France selon une étude Wavestone, Bpifrance, France Digitale, le Campus Cyber et le Secrétaire général pour l'investissement. Sur la lancée de la levée de fond de 380 millions d’euros annoncée par la licorne Ledger fin 2021, d’autres start-up ont su profiter de cet engouement. Ainsi Tehtris, entreprise de détection de logiciels espion a annoncé une nouvelle levée de près de 44 millions d’euros, Cosmian spécialisée dans le chiffrement ubiquitaire, près de 4 millions d’euros, ou Arsen, positionnée dans la sensibilisation du risque cyber, près de 2,5 millions d’euros.
