Panorama

Coûts et impacts du cybercrime

La digitalisation croissante et ses évolutions expliquent l’explosion des cyberattaques, aux motivations et techniques variées. Pour les entreprises concernées, les coûts liés à ces attaques vont également croissant et le secteur financier est particulièrement touché.

Cybercrime en 2019

L'auteur

  • Luc Tentillier
    • Associate Managind Director
      Accenture Security
    • Financial Services gallia Lead
      Accenture Security
  • Eric Cissé
    • Senior Manager Financial Services
      Accenture Security

Pour en savoir plus

images
  • graphique 1

    graphique 1

  • graphique 2

    graphique 2

  • graphique 3

    graphique 3

Revue de l'article

Cet article est extrait de
Banque & Stratégie n°383

Cybersécurité : des menaces nouvelles et des réponses innovantes

La 9e étude menée conjointement par Accenture et Ponemon Institute, « Cost of Cybercrime », datée de mars 2019 et réalisée auprès de 2 647 seniors leaders, issus de 355 entreprises et 11 pays [1], apporte un éclairage nouveau sur l’évolution des cyberattaques. Force est de constater qu’il y a une explosion du nombre de ces attaques au cours des 5 dernières années, à +67 %, et une progression de plus de 11 % entre 2017 et 2018 (respectivement 130 et 145 violations de sécurité en moyenne par organisation).

Quant aux coûts liés à ces cyberattaques, ils atteignent des sommets avec une croissance exponentielle de +72 % en 5 ans et de plus 12 % en un an, atteignant 13 millions de dollars par entreprise en 2018, contre 11,7 millions de dollars l’année précédente.

Comment expliquer cette recrudescence des cyberattaques ? Paradoxalement, la forte digitalisation des entreprises, qui est plébiscitée car facteur de gains financiers, de productivité, de réactivité et de différenciation, est un élément qui contribue à la hausse de ces attaques. En effet, les nouveaux business model, la mobilité, l’internet des objets, les dernières innovations digitales, l’évolution du cadre réglementaire comme l’open banking changent plus vite que les moyens de sécuriser cette économie basée sur la confiance. De plus, la sécurité est souvent considérée comme un centre de coûts, peu ou pas productrice de valeur, et ceci occulte son rôle primordial, qui est de garantir la pérennité des entreprises. Si la digitalisation est indéniablement créatrice de valeur, un niveau de cybersécurité insuffisant, au regard des actifs connectés et de la criticité des données, est un talon d’Achille que les hackers vont s’empresser d’exploiter. Ainsi, il n’est pas étonnant que le dernier rapport du World Economic Forum révèle les cyberattaques et les fuites de données sont deux risques issus du Top 5 des menaces pesant sur les entreprises.

Secteur financier

En effet, les impacts de ces cyberattaques entraînent des dommages liés à la perte d’information (coûts en hausse significative : 2,7 millions de dollars en 2015, contre 5,9 millions de dollars en 2018), à l’interruption de services (4 millions de dollars), à la perte de revenus, au coût des équipements endommagés, aux amendes liées à la fuite de données (RGPD [2], avec quelques exemples récents dans le domaine de l’hôtellerie et de l’aviation), la réputation ternie et son corollaire, la confiance des clients et partenaires à reconquérir.

Sans surprise, les premières victimes de ces cyberattaques sont les grandes puissances : États-Unis, Japon, Allemagne, Royaume-Uni, France, etc. Si la hausse est de l’ordre de 30 % en un an pour les États-Unis, le Japon et le Royaume-Uni, et de 19 % pour l’Allemagne, elle est de 23 % pour la France. En effet, le coût annuel moyen d’une cyberattaque dans l’Hexagone pour une grande entreprise s’élève à 9,72 millions de dollars en 2018, contre 7,90 millions en 2017. Tous secteurs d’activité confondus, le secteur financier (banques, marchés de capitaux et assurances) paye le plus grand tribut, avec un coût de 18,5 millions de dollars en moyenne par entreprise, soit 40 % de plus que le coût annuel moyen (13 millions de dollars).

Intégrité des données

Le vol de données est la première motivation des hackers, avec à la clé une hausse du nombre de cyberattaques et des coûts de plus en plus élevés pour les entreprises. Précisons que la donnée elle-même n’est plus la seule cible : les systèmes industriels sont également visés et requièrent une vigilance accrue de la part de ces acteurs. Au-delà du vol de données, la volonté de nuire est omniprésente, avec des attaques qui ont pour objet le chiffrement des données – qui les rend inutilisables sans le paiement d’une rançon –, leur destruction ou leur altération. Pour les acteurs du secteur financier, garantir l’intégrité des données est un combat de tous les jours.

L’étude révèle que 29 % du budget de sécurité des entreprises sont dédiés à la détection des cyberattaques, 25 % à l’investigation, 28 % à la résolution et seulement 18 % au retour à la normale.

Du point de vue de la technique, que nous apprend cette étude ? Les hackers font évoluer leurs méthodes, et il n’est pas rare de trouver dans le Darknet des rançongiciels proposés avec un business model basé sur une rémunération en bitcoin perçue, en cas de succès, par le fournisseur du « service » – car il s’agit bien d’un service. Nous constatons que le maillon faible de la chaîne de la sécurité reste le facteur humain, avec une hausse conséquente des rançongiciels (+21 %), de la malveillance interne (+15 %), du social engineering et de l’hameçonnage (+8).

L'imagination sans limite des hackers, qui utilisent des méthodes de plus en plus sophistiquées, et l'émergence, sous la dynamique de la digitalisation de l’entreprise, de nouveaux processus métiers, augmentent la surface d’attaque et d’exploitation des vulnérabilités. À l’instar d’un château de sable, chaque cyberattaque est une vague de plus qui va éroder les fondations de l’économie digitale. Comment contrer ces tsunamis qui s’abattent sur les entreprises et les mettent en péril ?

Limiter les impacts

Les budgets dédiés à la cybersécurité sont limités et les ressources sont rares sur un marché tendu où les entreprises reconnaissent avoir des difficultés à recruter les experts dont ils ont besoin pour opérer leurs dispositifs de sécurité.

Le rapport d’Accenture préconise différentes actions aux dirigeants des entreprises pour limiter les cyberattaques, voire s'en prémunir :

  • atténuer les impacts des attaques ciblant les personnes en agissant sur le facteur humain à travers des campagnes régulières de formation et de sensibilisation à la sécurité, et adoptant une culture de la sécurité à tous les niveaux de l’entreprise mais aussi avec l’écosystème des partenaires. Ainsi l’impact de la malveillance interne, de l’hameçonnage et des rançongiciels seront limités ;
  • investir dans la sécurité pour limiter les impacts (amendes, perte d’image, perte de confiance) liés à la perte de données et à l’interruption de service afin de tenir compte notamment du RGPD. L’objectif est de protéger la donnée sous ses différents états (usage, transfert et stockage) et tout au long de son cycle de vie, de la collecte à la destruction de la donnée via des solutions de chiffrement ou de tokenisation ;
  • modéliser les chemins d’attaques les plus faciles à exploiter et pouvant provoquer les dommages les plus sévères pour l’entreprise, ce qui permet de prioriser ses investissements en sécurité. Cette démarche « Agile Security » réconcilie les différents métiers et l’équipe sécurité, car les premiers vont préciser les actifs à protéger et les seconds seront en charge de mettre en œuvre le niveau de sécurité adéquat ;
  • mettre en place une approche « zero trust », car l’adoption du cloud, de la mobilité, du BYOD (Bring Your Own Device) l’ouverture du système d'information et l’essor de la digitalisation ont mis en péril la défense périmétrique qui était la règle. Cette approche, qui consiste à ne « jamais faire confiance et toujours vérifier », s’applique à tous les utilisateurs, à l’intérieur et à l’extérieur du réseau. Il convient à présent de changer de paradigme et d’adopter une sécurité combinant différents facteurs tels que le profil et les droits associés d’un utilisateur, le terminal utilisé et la criticité de la donnée à laquelle il souhaite accéder ;
  • réduire les coûts de détection des cyberattaques en privilégiant les technologies d’automatisation, l'intelligence artificielle, l’analytique, la threat intelligence et le machine learning. Ces technologies innovantes ne sont déployées que par 28 % des entreprises, alors qu'elles offrent l'un des meilleurs rendements en matière de réduction des coûts de sécurité.

L’essor de la digitalisation et la recrudescence des cyberattaques de plus en plus sophistiquées infligent aux entreprises des dommages dont les coûts sont de plus en plus élevés. Ceux du secteur financier sont supérieurs de 40 % à la moyenne. Les données sont la cible principale de ces attaques, dont la résolution est de plus en plus chronophage. Néanmoins, il existe des parades pour libérer la valeur et rétablir la confiance, sans laquelle il n’y a pas d’économie numérique. Or la confiance ne se décrète pas ; elle se mérite, à travers les mesures et les bonnes pratiques que les entreprises doivent adopter, notamment en impliquant l’équipe sécurité « en amont » pour tous les projets innovants, afin que la création de valeur aille de pair avec la sécurisation des actifs impliqués.

[1] Allemagne, Australie, Brésil, Canada, Espagne, États-Unis, France, Italie, Japon, Royaume-Uni et Singapour.

[2] Règlement 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.

 

Sommaire du dossier

Des menaces nouvelles et des réponses innovantes

Sur le même sujet