Noa Jacquet et Garance Barthélémy
Le cabinet Asterès estime à 2 milliards d'euros le montant des pertes liées aux cyberattaques pour la France en 2022.
Reuters
Les cyberattaques coûtent toujours plus aux entreprises françaises. D'après une étude du cabinet Asterès, les pertes liées aux attaques informatiques s'élevaient à 2 milliards d'euros en France en 2022, alors que la cybermenace explose ces dernières années.
Les attaques par rançongiciels, qui consistent à paralyser des systèmes informatiques entiers pour demander des rançons, représentent une part importante de ces pertes : celles-ci s'élèvent à 888 millions d'euros pour les organisations, selon les estimations d'Asterès. A noter que cette estimation correspond à la somme totale payée par les victimes, et non au montant demandé par les malfaiteurs. Toutefois, d'après une autre étude de 2022, les organisations acceptent de moins en moins de payer la rançon, conformément aux recommandations des autorités et des experts en cybersécurité.
A ces rançons s'ajoutent 887 millions d'euros de coûts directs, c'est-à-dire l'argent dépensé pour répondre aux conséquences des cyberattaques. Ce coût correspond à une part de frais externes et à la ré-allocation de ressources, détaille Asterès.
Une moindre part enfin, provient du montant en heures de travail perdues : les cyberattaques ont fait perdre environ 7 millions d'heures aux organisations françaises en 2022, soit l'équivalent de 252 millions d'euros. Nommé « downtime cost », ce gaspillage découle essentiellement de l'immobilisation des systèmes d'information liée à la cyberattaque. C'est un manque à gagner plutôt qu'une perte sèche de revenus.
Asterès évalue le coût d'une cyberattaque à 59.000 euros en moyenne, bien que des réalités disparates puissent largement modifier ce chiffre selon l'ampleur de l'événement et la taille de l'organisation. Pour les plus grandes entreprises par exemple, ce chiffre peut monter à 225.000 euros en moyenne, hors rançon, et selon le type d'attaque.
Chaque jour à 13h, l’essentiel de l’actualité tech.
Sans surprise, les entreprises sont les principales cibles des cybercriminels selon Asterès. Sur un total de 385.000 cyberattaques évaluées par le cabinet, 90% touchent les entreprises privées, et en grande majorité les PME (330.000). Les attaques sur les microentreprises n'ont pas été prises en compte pour cette étude.
Parallèlement, Asterès estime que près de 40.000 cyberattaques réussies ont visé des organisations publiques en 2022.
Le cabinet estime à 10 millions d'euros le coût de l'attaque la plus lucrative pour les attaquants de l'année 2022.
Pour Sylvie Roche, la Directrice du CRIP, commanditaire de l'étude, ces chiffres visent à « faire progresser la prévention et les bonnes pratiques à avoir face aux cyber-intrusions réussies. »
À lire également
Le cabinet précise par ailleurs que si les chiffres quant à l'évolution des cyberattaques restent imprécis et variables selon les rapports (leur fréquence serait en baisse depuis quelques années d'après le CESIN, mais en hausse sur un an d'après Hiscox), l'étude parue ce mardi a été demandée en réponse à la demande croissante des 13.000 membres du CRIP face aux gestions de crise.
Noa Jacquet et Garance Barthélémy
