A la veille des Assises de la Sécurité, la dernière édition du rapport annuel IT Security Economics de Kaspersky révèle la gravité croissante des incidents de cybersécurité qui touchent les entreprises via les fournisseurs avec lesquels elles partagent des données. Alors que ce type d’événement ne figurait même pas dans le top 5 des incidents l’année dernière, il s’avère le plus coûteux en 2021, avec un impact financier moyen atteignant 1,4 million de dollars par entreprise dans le monde, contre près de 2 millions de dollars en Europe. Le classement général des pertes dues aux différents types d’attaques a également beaucoup évolué depuis 2020.
Il en résulte aussi une chute de l’impact financier moyen d’une attaque, qui affiche une baisse notable de 15 % par rapport aux résultats de l’année dernière (927 000 dollars en 2021 contre 1,09 million de dollars en 2020) et sont même plus faibles qu’en 2017 (992 000 dollars).
Un chiffre qu’il est intéressant de mentionner, c’est que 41% des entreprises européennes ont réussi à éviter de communiquer sur leur faille de sécurité. Une stratégie pas toujours payante puisque même si la communication peut avoir des impacts négatifs sur la réputation, le rapport IT Security Economics de l’année dernière indiquait au contraire que les entreprises qui communiquaient proactivement avaient tendance à réduire leurs coûts vis-à-vis de cette cyberattaque, de près de 40%.
« La gravité des attaques démontre que lorsque les entreprises évaluent leurs besoins en cybersécurité, il faut qu’elles prennent en compte le risque d’une fuite impliquant des données partagées avec des fournisseurs. La pandémie a modifié le contexte des menaces et les entreprises doivent être prêtes à s’y adapter. Cela passe par l’évaluation de leurs fournisseurs en fonction de leur catégorie professionnelle et de la complexité de leur accès (qu’ils traitent des données et des infrastructures sensibles ou non), et l’application d’exigences de sécurité en conséquence. Les entreprises doivent s’assurer qu’elles ne partagent des données qu’avec des tiers de confiance et étendre leurs exigences de sécurité existantes aux fournisseurs. Par conséquent, pour le transfert de données ou d’informations confidentielles, les fournisseurs seront tenus de confirmer leur habilitation en présentant la totalité des documents et certifications nécessaires (comme SOC 2). Dans les cas très sensibles, nous recommandons en outre de procéder à un audit de conformité préalable d’un fournisseur avant de signer tout contrat », souligne Evgeniya Naumova, vice-présidente exécutive du département Corporate Business, Kaspersky.