Réalisée par le Ponemon Institute, l’édition 2013 de l’étude Cost of Cyber Crime montre que la cybercriminalité a couté 11,56 Millions de dollars à un échantillon représentatif des entreprises américaines, ce qui représente une augmentation de 78 % par rapport à la première étude effectuée il y a quatre ans. Cette étude révèle également que le délai nécessaire pour neutraliser une cyber attaque a augmenté de près de 130 % au cours de cette même période, le coût moyen induit pour contrer une seule attaque dépassant le million de dollars.
Ces dernières années, la sophistication des cyber attaques a connu une progression exponentielle, dans la mesure où les adversaires sont de plus en plus spécialisés et partagent des renseignements pour obtenir des données confidentielles et l’interruption des fonctions critiques des entreprises. Selon l’étude, une bonne gouvernance de la SSI, ainsi que des solutions de Security Intelligence tels que les fonctions de gestion des événements et des informations de sécurité (SIEM), les systèmes d’intelligence réseau et les outils analytiques du Big Data, peuvent contribuer à limiter l’impact des menaces qui pèsent sur les données et réduire le coût de la cybercriminalité
L'étude confirme plusieurs constats :
• Le coût annuel moyen de la cybercriminalité par entreprise est de 11.56 millions de dollars, la fourchette étant comprise entre 1,3 et 58 millions de dollars, ce qui représente une augmentation de 26 % ou 2,6 millions de dollars, par rapport au coût moyen déclaré en 2012(3).
• Les entreprises sont en moyenne confrontées à 122 attaques réussies par semaine, contre 102 en 2012(4).
• Le temps de résolution moyen d’un attaque informatique est de 32 jours, avec un coût moyen associé à l’attaque de 1 035 769 dollars, soit 32 469 dollars par jour, soit 55 % de plus que l’an passé - 591 780 dollars pour un délai de résolution alors évalué à 24 jours(1) en moyenne.
Le coût réel des cyberattaques a également été mesuré. Les activités cybercriminelles les plus coûteuses restent celles liées aux logiciels malveillants, aux dénis de services, à la malveillance interne. Ces agressions représentent plus de 55% du coût annuel de la cybercriminalité supportée par les organisations(5). Le vol d’informations continue de représenter le coût externe le plus élevé, les interruptions d’activité arrivant en seconde position. Sur une base annuelle, les pertes d’informations représentent 43 % du coût externe total, en baisse de 2 % par rapport à 2012. Les interruptions d’activité ou la perte de productivité représente 36 % des coûts externes, en progression de 18 % par rapport à 2012. Notons également que :
• le rétablissement et la détection restent les activités internes les plus coûteuses. L’année dernière, ces activités ont représenté ensemble 49 % du coût internes, les décaissements et la masse salariale et l’exploitation représentant la majorité de ces coûts(1).
• Si le coût de la cybercriminalité varie en fonction de la taille des entreprises, les petites structures affichent un coût par employé nettement plus élevé que les grands comptes(1).
• Le coût de la cybercriminalité est sensiblement plus élevé dans les secteurs des services financiers, de la défense, de l’énergie et des services publics que dans la grande distribution, l’hôtellerie et les produits grand public(1).
Parallèlement à cette quatrième étude annuelle des entreprises américaines, l’Institut Ponemon a mené des études spécifiques en Australie, en Allemagne au Japon et au Royaume-Uni pour la deuxième année consécutive. Une étude concernant les entreprises françaises a été effectuée pour la première fois cette année. Parmi les pays étudiés, les sociétés américaines consultées affichent le coût total moyen le plus élevé en matière de cybercriminalité (11,6 millions de dollars), les entreprises françaises affichent pour leur part un coût de 5.19 millions de dollars.
L'étude confirme plusieurs constats :
• Le coût annuel moyen de la cybercriminalité par entreprise est de 11.56 millions de dollars, la fourchette étant comprise entre 1,3 et 58 millions de dollars, ce qui représente une augmentation de 26 % ou 2,6 millions de dollars, par rapport au coût moyen déclaré en 2012(3).
• Les entreprises sont en moyenne confrontées à 122 attaques réussies par semaine, contre 102 en 2012(4).
• Le temps de résolution moyen d’un attaque informatique est de 32 jours, avec un coût moyen associé à l’attaque de 1 035 769 dollars, soit 32 469 dollars par jour, soit 55 % de plus que l’an passé - 591 780 dollars pour un délai de résolution alors évalué à 24 jours(1) en moyenne.
Le coût réel des cyberattaques a également été mesuré. Les activités cybercriminelles les plus coûteuses restent celles liées aux logiciels malveillants, aux dénis de services, à la malveillance interne. Ces agressions représentent plus de 55% du coût annuel de la cybercriminalité supportée par les organisations(5). Le vol d’informations continue de représenter le coût externe le plus élevé, les interruptions d’activité arrivant en seconde position. Sur une base annuelle, les pertes d’informations représentent 43 % du coût externe total, en baisse de 2 % par rapport à 2012. Les interruptions d’activité ou la perte de productivité représente 36 % des coûts externes, en progression de 18 % par rapport à 2012. Notons également que :
• le rétablissement et la détection restent les activités internes les plus coûteuses. L’année dernière, ces activités ont représenté ensemble 49 % du coût internes, les décaissements et la masse salariale et l’exploitation représentant la majorité de ces coûts(1).
• Si le coût de la cybercriminalité varie en fonction de la taille des entreprises, les petites structures affichent un coût par employé nettement plus élevé que les grands comptes(1).
• Le coût de la cybercriminalité est sensiblement plus élevé dans les secteurs des services financiers, de la défense, de l’énergie et des services publics que dans la grande distribution, l’hôtellerie et les produits grand public(1).
Parallèlement à cette quatrième étude annuelle des entreprises américaines, l’Institut Ponemon a mené des études spécifiques en Australie, en Allemagne au Japon et au Royaume-Uni pour la deuxième année consécutive. Une étude concernant les entreprises françaises a été effectuée pour la première fois cette année. Parmi les pays étudiés, les sociétés américaines consultées affichent le coût total moyen le plus élevé en matière de cybercriminalité (11,6 millions de dollars), les entreprises françaises affichent pour leur part un coût de 5.19 millions de dollars.
