Les pertes mondiales imputables aux attaques informatiques ont atteint les 1000 milliards de dollars en 2020, soit plus d'1% du PIB mondial. Ces pertes proviennent du vol d'actifs monétaires et de propriété intellectuelle mais également de pertes cachées, souvent omises. C'est sur ce dernier volet que McAfee s'est penché dans un rapport en partenariat avec le Centre d'études stratégiques et internationales.
McAfee et le Centre d'études stratégiques et internationales (CSIS), un groupe de réflexion américain, viennent de publier un nouveau rapport sur les coûts cachés de la cybercriminalité. Le cabinet Vanson Bourne a été mandaté pour interroger 1500 décideurs informatiques et dirigeants d'entreprises issus de tous les secteurs aux Etats-Unis, en France, au Canada, au Royaume-Uni, en Allemagne, en Australie et au Japon.
Deux tiers des entreprises attaquées
Le constat est accablant : deux tiers des entreprises interrogées ont subi une cyberattaque en 2020. Ainsi, les pertes mondiales imputables aux attaques informatiques ont augmenté de plus de 50% par rapport à 2018 pour arriver à plus de 1000 milliards de dollars. Ce montant astronomique représente plus d'1% du PIB mondial.
Le rapport a examiné à la loupe les coûts cachés de la cybercriminalité. Quatre grandes dépenses ressortent de cette étude : le temps d'arrêt du système, l'efficacité réduite, les coûts de réaction aux incidents et l'atteinte à la marque et à la réputation. Environ deux tiers des entreprises interrogées font état d'un temps d'arrêt provoqué par une attaque informatique. Ainsi, en 2019, le coût moyen de leur plus longue période d'indisponibilité s'élevait à 762 231 dollars.
Ces temps d'arrêt ont des conséquences sur la productivité car, en moyenne, les organisations ont perdu 9 heures de travail par semaine. L'interruption moyenne des opérations a été de 18 heures. Dans le détail, les services d'ingénierie subissent des pertes plus importantes, en moyenne 965 000 dollars, ce qui contraste fortement avec les directions des ressources humaines, qui ont subi des pertes d'environ 89 000 dollars.
Des dommages liés à la réputation de l'entreprise
Les incidents de sécurité nécessitent le plus souvent une intervention externe dont les tarifs représentent une part importante des coûts pour les organisations interrogées. De plus, les répondants ont identifié des dommages provoqués par une atteinte à l'image de leurs entreprises. 26% des personnes rapportent des dommages à la marque en raison de l'interruption de service provoqué par la cyberattaque.
Le rapport prend l'exemple de la cyberattaque qui a touché le géant pharmaceutique Merck en 2017. Les pertes engendrées par cette attaque pourraient dépasser le milliard de dollars, selon McAfee. Le malware NotPetya s'était propagé vers d'autres parties de la chaîne d'approvisionnement pharmaceutique et a provoqué des retards dans la livraison des médicaments dans le monde entier. Dans le détail, 2,5 millions de dollars ont été dépensés pour des expertises externes, 115 millions de dollars en améliorations de la sécurité et 31 millions de dollars pour informer les consommateurs.
Une absence de préparation alarmante
Au-delà des coûts qui ne cessent de croitre, c'est l'absence de plan de prévention et d'action qui inquiète. En effet, 56% des répondants déclarent n'avoir aucune stratégie pour répondre à une attaque informatique. Sur les 951 organisations qui possèdent un plan d'intervention, seulement 32% ont déclaré que ce plan était efficace.
D'ailleurs, les entreprises reconnaissent elles-mêmes avoir des lacunes et 507 des 1332 personnes interrogées estiment que le manque de connaissances des utilisateurs contribue au succès des cybercriminels ciblant leurs organisations. L'un des plus grands défis est le manque de compréhension du risque cybernétique à l'échelle de l'organisation, conclut le rapport.
Aucune cohérence dans les outils utilisés
Autre problème, le manque d'harmonisation des outils de prévention. En moyenne, les entreprises utilisent 47 outils de cybersécurité différents provenant de 10 fournisseurs distincts, rapporte l'étude. Ainsi, même lorsque différents services et produits sont correctement intégrés, cette absence de cohérence oblige "les professionnels de l'informatique à consacrer leur temps à la gestion de l'interopérabilité des boîtes à outils qui étaient censées leur faciliter la tâche", poursuit le rapport.
Face à cette situation, McAfee préconise aux entreprises de mettre en œuvre des mesures de sécurité de base, de normaliser les exigences en matière de sécurité informatique et de former les employés aux enjeux cyber.
En savoir +: