C. LA CYBERMALVEILLANCE : UN RISQUE MORTEL

La perte partielle ou totale des ressources informatiques clés entraînant une rupture de service a pour plusieurs conséquences cumulatives négatives pour une entreprise : perte financière directe à la suite de ventes non réalisées pendant l'absence de service ; atteinte à l'image auprès des investisseurs, clients et opinion publique ; risque légal lié à une rupture contractuelle des engagements de la société et pénalités pour non-respect de ceux-ci ; risque de perte de propriété intellectuelle ou des données.

Une attaque informatique peut conduire une entreprise, et notamment une TPE ou PME, structurellement plus fragile, à disparaître.

Aux États-Unis, 50 % des PME ayant eu tout leur système d'information bloqué plusieurs semaines à la suite d'une attaque informatique (généralement un rançongiciel), auraient fait faillite dans les 6 mois ayant suivi. D'autres études sont plus pessimistes : 80 % des entreprises ayant perdu leurs données informatiques suite à une cyberattaque font faillite dans les 12 mois, selon une étude menée en 2019 par l'assureur britannique Hiscox 47 ( * ) .

Ces cyberattaques, de plus en plus ciblées, sont de plus en plus coûteuses, bien que le ministère de l'Intérieur estime que : « l'évaluation du coût de la cybercriminalité reste encore un exercice complexe et repose pour l'instant sur des études évaluatives ou des sondages », le coût global d'une attaque informatique « ne pouvant être précisé immédiatement » 48 ( * ) .

L'impact financier des incidents informatiques est encore mal connu des entreprises elles-mêmes et seules 43 % d'entre elles peuvent en dresser une évaluation. L'impact concret est mieux connu et 59 % des cyberattaques provoquent un ralentissement voire un arrêt de la production, ou une indisponibilité du site Internet, des retards de livraison, une perte de chiffre d'affaires.

Aux États-Unis, une étude réalisée par le Ponemon Institute 49 ( * ) en 2018 a estimé que le coût moyen d'un détournement de données serait de l'ordre de 3,62 millions de dollars, alors qu'une étude de 2016 50 ( * ) l'avait évalué en moyenne à 330 000 euros pour une entreprise de 1 000 salariés ou moins, et 1,3 million d'euros pour une entreprise de plus de 5 000 salariés.

Dans son étude consacrée en 2020 à 1 971 sociétés qui ont subi des cyber-incidents et des failles dans le monde, l'assureur britannique Hiscox évalue le coût médian à 51 200 €, soit près de six fois le coût observé en 2019 (9 000 €), avec un coût total de 1,6 milliard € contre 1,1 milliard € en 2019, et un nombre de société attaquées près de 33 % supérieur.

En France, l'IFOP a évalué, en novembre 2018 51 ( * ) , que ces cyberattaques avaient un coût inférieur à 10 000 euros pour 64 % d'entre elles, mais que pour 14 % d'entre elles, il s'élevait à plus de 50 000 euros.

Source : « Cyberattaque : quel coût pour une TPE / PME ? » ;
Astrid Marie Pirson, directrice technique de la souscription Hiscox, 21 juillet 2020

Si les faillites de PME liées à une cyberattaque sont très peu documentées 52 ( * ) , « les petites entreprises, plus vulnérables, courent le risque de subir des attaques et les moins bien préparées payent clairement le prix fort » .

Comme l'indique le schéma ci-dessus, au coût direct d'une cyberattaque s'ajoute le coût indirect , avec un délai de latence, qui déploie ses effets délétères parfois mortels pour l'entreprise.

« Les coûts engendrés par une crise cyber sont multiples, touchent de nombreuses dimensions et évoluent dans le temps. Les enjeux financiers principaux de la vague initiale sont la perte d'exploitation dû à l'arrêt des systèmes, les frais de gestion de crise (expertise externe, mobilisation spécifique de collaborateurs, matériels, logiciels...), de communication et de gestion commerciale (communication interne ou avec les autorités, les clients, le grand public...). Les coûts engendrés par une crise cyber sont multiples, touchent de nombreuses dimensions et évoluent dans le temps. Dans les mois qui suivent, ces coûts de gestion de crise se transforment en coûts de désorganisation, par exemple dus à la perte d'efficacité du fait de systèmes non fonctionnels, de processus internes défaillants, de clients mécontents, puis en coûts de reconstruction et de sécurisation du système d'information. Dans certains cas, en particulier pour les secteurs régulés ou si des données à caractère personnel ont été touchées, des coûts juridiques importants peuvent apparaître » 53 ( * ) .

Source : « Cybercrime : le ransomware, risque cyber numéro 1 »,
Gérôme Billois Partner cybersécurité et confiance numérique chez Wavestone et
Marwan Lahoud, Président d'ACE Capital Partners,
Blog de l'Institut Montaigne, 15 mars 2021.


* 47 Hiscox a sollicité Forrester Consulting pour évaluer les capacités de gestion des cyber-risques des entreprises. Au total, 5,569 professionnels en charge de la stratégie de cybersécurité de leur entreprise ont été contactés (plus de 1 000 personnes par pays pour le Royaume-Uni, les États-Unis et l'Allemagne, plus de 500 pour la Belgique, la France, l'Espagne et les Pays-Bas et plus de 300 pour la République d'Irlande). Les répondants ont rempli le questionnaire en ligne entre le 24 décembre 2019 et le 3 février 2020.

* 48 « L'état de la menace liée au numérique en 2019 ».

* 49 Le Ponemon Institute a été fondé en 2002 par le Dr Larry Ponemon et Susan Jayson. L'Institut mène des études sur des problèmes critiques affectant la sécurité des actifs informationnels et de l'infrastructure informatique, notamment une étude annuelle sur le coût des violations de données parrainé par IBM et l'étude annuelle sur les tendances du chiffrement désormais parrainée par n-Cipher, société du groupe Entrust Datacard figurant parmi les leaders mondiaux sur le marché des modules de sécurité matériels (HSM).

* 50 « Brèches de sécurité - quel est le coût réel pour votre business ? », NTT Com Security, octobre 2016.

* 51 « Les PME face aux enjeux de sécurité informatique », Étude IFOP du 5 au 9 novembre 2018 de nature quantitative auprès de 702 décideurs, réalisée pour Kaspersky et Euler Hermes.

* 52 Selon le rapport Hiscox sur la gestion des cyber-risques, portant sur 8 pays en 2020 « Environ 63 % des entreprises de moins de dix salariés ont déclaré n'avoir subi aucun incident ni aucune faille. Toutefois, près de la moitié d'entre elles (49 %) n'ont pas de responsable de la cybersécurité et il pourrait ainsi y avoir des événements non pris en compte ». L'assureur a sollicité Forrester Consulting pour évaluer les capacités de gestion des cyber-risques des entreprises. Au total, 5 569 professionnels en charge de la stratégie de cybersécurité de leur entreprise ont été contactés (plus de 1 000 personnes par pays pour le Royaume-Uni, les États-Unis et l'Allemagne, plus de 500 pour la Belgique, la France, l'Espagne et les Pays-Bas et plus de 300 pour la République d'Irlande). Les répondants ont rempli le questionnaire en ligne entre le 24 décembre 2019 et le 3 février 2020. Le nombre de petites entreprises comptant moins de 250 salariés a été augmenté dans le panel, passant de 56 % à 60 %. Les entreprises de moins de neuf salariés représentent désormais 29 % du panel, contre 20 % l'an dernier. Les commerçants individuels représentent 10 % du total, contre 5 % l'an dernier. Les grandes (entre 250 et 999 salariés) et très grandes entreprises (1 000 salariés et plus) représentent toujours un total cumulé de 40 % du panel.

* 53 « Cybercrime : le ransomware, risque cyber numéro 1 », Gérôme Billois Partner cybersécurité et confiance numérique chez Wavestone et Marwan Lahoud, Président d'ACE Capital Partners, Blog de l'Institut Montaigne, 15 mars 2021.

Les thèmes associés à ce dossier

Page mise à jour le

Partager cette page