Les cyberattaques coûtent toujours plus aux entreprises françaises. D'après une étude du cabinet Asterès, les pertes liées aux attaques informatiques s'élevaient à 2 milliards d'euros en France en 2022, alors que la cybermenace explose ces dernières années.
La rançon, l'outil privilégié des pirates
Les attaques par rançongiciels, qui consistent à paralyser des systèmes informatiques entiers pour demander des rançons, représentent une part importante de ces pertes : celles-ci s'élèvent à 888 millions d'euros pour les organisations, selon les estimations d'Asterès. A noter que cette estimation correspond à la somme totale payée par les victimes, et non au montant demandé par les malfaiteurs. Toutefois, d'après une autre étude de 2022, les organisations acceptent de moins en moins de payer la rançon, conformément aux recommandations des autorités et des experts en cybersécurité.
A ces rançons s'ajoutent 887 millions d'euros de coûts directs, c'est-à-dire l'argent dépensé pour répondre aux conséquences des cyberattaques. Ce coût correspond à une part de frais externes et à la ré-allocation de ressources, détaille Asterès.
Une moindre part enfin, provient du montant en heures de travail perdues : les cyberattaques ont fait perdre environ 7 millions d'heures aux organisations françaises en 2022, soit l'équivalent de 252 millions d'euros. Nommé « downtime cost », ce gaspillage découle essentiellement de l'immobilisation des systèmes d'information liée à la cyberattaque. C'est un manque à gagner plutôt qu'une perte sèche de revenus.
Asterès évalue le coût d'une cyberattaque à 59.000 euros en moyenne, bien que des réalités disparates puissent largement modifier ce chiffre selon l'ampleur de l'événement et la taille de l'organisation. Pour les plus grandes entreprises par exemple, ce chiffre peut monter à 225.000 euros en moyenne, hors rançon, et selon le type d'attaque.
Les entreprises majoritairement victimes
Sans surprise, les entreprises sont les principales cibles des cybercriminels selon Asterès. Sur un total de 385.000 cyberattaques évaluées par le cabinet, 90% touchent les entreprises privées, et en grande majorité les PME (330.000). Les attaques sur les microentreprises n'ont pas été prises en compte pour cette étude.
« Alors que la digitalisation et l'évolution du travail à distance, exacerbées par la crise de la COVID-19, ont intensifié la dépendance à la connectivité, les entreprises sont devenues plus vulnérables face aux infractions en ligne. Les failles dans les outils de travail à distance et l'utilisation du cloud ont aggravé cette menace », commente Alexandre Lazarègue, avocat spécialisé en droit du numérique.
Parallèlement, Asterès estime que près de 40.000 cyberattaques réussies ont visé des organisations publiques en 2022.
Le cabinet estime à 10 millions d'euros le coût de l'attaque la plus lucrative pour les attaquants de l'année 2022.
Faire progresser la prévention
Pour Sylvie Roche, la Directrice du CRIP, commanditaire de l'étude, ces chiffres visent à « faire progresser la prévention et les bonnes pratiques à avoir face aux cyber-intrusions réussies. »
« Quand l'on sait que 90% des investissements cyber sont alloués à la prévention des attaques, il est essentiel que les entreprises s'informent davantage sur l'après violation des données », détaille-t-elle à La Tribune.
Le cabinet précise par ailleurs que si les chiffres quant à l'évolution des cyberattaques restent imprécis et variables selon les rapports (leur fréquence serait en baisse depuis quelques années d'après le CESIN, mais en hausse sur un an d'après Hiscox), l'étude parue ce mardi a été demandée en réponse à la demande croissante des 13.000 membres du CRIP face aux gestions de crise.
Retraités : la volte-face des favorisés d'Emmanuel Macron (45)
Sujets les + commentés