Nous savons tous que le cyber est un élément critique du risque d’entreprise. Mais à quel point ? Certaines salles de conseil d’administration semblent n’accorder qu’un intérêt de pure forme à la sécurité et parviennent tout de même à éviter de graves répercussions. C’est pourquoi un nouveau rapport de l’assureur mondial Hiscox présente une lecture intéressante. Il affirme en effet que de nombreuses organisations européennes et américaines ont frôlé l’insolvabilité à la suite de violations de la sécurité. Et si les dépenses sont en hausse, les entreprises internationales sont moins nombreuses que jamais à être qualifiées « d’experts » en matière de cyberpréparation.
Il est clair que savoir où diriger les investissements dans la cybernétique n’a jamais été aussi important. Alors, que font les experts pour éviter la faillite ? Selon le rapport, il s’agit essentiellement d’un mélange de bonnes pratiques de base et d’une volonté de tirer les leçons des incidents précédents.
Une menace réelle
Le rapport a été rédigé à partir d’entretiens avec 5 000 entreprises aux États-Unis, au Royaume-Uni, en Belgique, en France, en Allemagne, en Espagne, aux Pays-Bas et en Irlande. Nous connaissions déjà certaines de ces conclusions. Mais il y a des nuances intéressantes. Par exemple :
- Sept pays sur huit classent une cyberattaque comme la menace numéro un pour leur entreprise.
- La moitié (48 %) des personnes interrogées ont signalé une cyberattaque au cours des 12 derniers mois, contre 43 % l’année dernière.
- Un cinquième (19 %) des personnes interrogées ont signalé une attaque par rançongiciel, contre 16 % l’année dernière. Deux tiers des victimes ont payé leurs agresseurs
Jusqu’ici, tout va bien. Cependant, il y a un grand fossé de perception entre ceux qui ont subi une attaque et ceux qui n’en ont pas subi. Plus de la moitié (55 %) des victimes de cyberattaques considèrent la cybernétique comme un domaine à haut risque, mais ce chiffre tombe à seulement 36 % pour ceux qui n’ont pas subi de compromission. De même, 41 % des personnes attaquées disent que leur exposition au risque a augmenté, mais pour l’autre groupe, ce chiffre est inférieur à un quart (23 %).
Autre élément intéressant : les cybercriminels semblent cibler de plus en plus les petites entreprises. Celles dont le chiffre d’affaires se situe entre 100 000 et 500 000 dollars US peuvent désormais s’attendre à autant d’attaques que celles qui gagnent entre 1 et 9 millions de dollars par an.
Un coût élevé pour les entreprises
Ce point est important, car un cinquième des entreprises qui ont répondu et qui ont été attaquées disent que leur solvabilité a été menacée, soit une augmentation de 24 % par rapport à l’année dernière. Bien qu’ils ne soient pas détaillés dans le rapport, les coûts de l’intrusion peuvent inclure les éléments suivants :
- Des interruptions de fonctionnement
- Des frais juridiques
- Heures supplémentaires en informatique et coûts d’expertise par des tiers
- Amendes réglementaires
- Perte de clients
- Perte de production et de ventes
- Atteinte à la réputation à long terme
Cela peut expliquer en partie pourquoi les dépenses sont en hausse. Les dépenses moyennes des répondants en matière de cybersécurité ont augmenté de 60 % au cours de l’année écoulée pour atteindre 5,3 millions de dollars américains, et ont augmenté de 250 % depuis 2019, selon le rapport.
Comment les attaquants compromettent-ils les organisations ?
Pour mieux comprendre comment votre organisation peut éviter la faillite, nous devons d’abord savoir comment les acteurs de la menace font autant de dégâts. Selon le rapport, les principaux vecteurs d’attaque sont :
- Les serveurs sur le cloud (41 %)
- Les courriers électroniques d’entreprise (40 %)
- Les serveurs d’entreprise (37 %)
- Les serveurs d’accès à distance (31 %)
- Les appareils mobiles appartenant aux employés (29 %)
- DDoS (26%)
Ces chiffres rejoignent les conclusions d’autres rapports et montrent que le travail à distance, les investissements dans l’infrastructure en nuage liés à une pandémie et les problèmes de sécurité du travail à distance sont parmi les plus grands risques auxquels les entreprises sont confrontées aujourd’hui. Ces facteurs, combinés à l’erreur humaine, ont créé une vaste surface d’attaque que les acteurs de la menace peuvent viser.
Que faire maintenant ?
Il est préoccupant de constater que les scores de cyberpréparation estimés par Hiscox ont baissé de 2,6 % par rapport à l’année précédente, ce qui a entraîné une forte baisse du nombre d’entreprises classées comme « expertes » – de 20 % à seulement 4,5 %. La proportion d’entreprises classées comme novices a également diminué de manière significative, laissant la plupart d’entre elles dans la catégorie des « intermédiaires ». La cyberpréparation est importante car les coûts médians des attaques, exprimés en pourcentage du chiffre d’affaires, sont deux fois et demie plus élevés pour les entreprises classées comme « cybernovices », selon le rapport.
À quoi ressemble donc une organisation mature et cyberprête ? Heureusement, tout ne dépend pas de la quantité d’argent disponible à dépenser. Plusieurs bonnes pratiques sont mises en avant, notamment les suivantes :
- Officialiser la cybersécurité en définissant clairement les rôles et en obtenant l’adhésion du conseil d’administration ou de la direction générale.
- Veiller à ce que les cadres supérieurs aient une visibilité claire de la cybersécurité et s’y engagent.
- Suivre les normes de meilleures pratiques telles que le cadre du US National Institute of Standards and Technology (NIST) framework des États-Unis.
- Répartir les investissements sur les cinq fonctions clés du NIST : identifier, protéger, détecter, répondre et récupérer.
- Concentrez-vous sur la planification de la réponse aux incidents et sur les simulations d’attaques à la lumière de l’incertitude géopolitique actuelle.
- Évaluer régulièrement les données et l’infrastructure technologique de l’entreprise
- Dispenser une formation efficace de sensibilisation à la cybersécurité
- Veillez à ce que les fournisseurs et les partenaires commerciaux respectent les exigences de sécurité.
- Se concentrer sur les processus « à portée de main » tels que l’application de correctifs, les tests d’intrusion et les sauvegardes régulières.
Ensemble, ces mesures contribueront à minimiser les risques qu’une attaque finisse par ruiner l’entreprise.