Cybersécurité : les pertes liées à une cyberattaque multiplié par 6 en un

0
104

Selon, rapport 2020, les pertes liées à une cyberattaque ont été multiplié par six en un an seulement. Une tendance qui s’explique en partie par le recours de plus en plus fréquent des pirates informatiques à des demandes de rançon. En France, 18% des entreprises ont déclaré avoir payé une rançon suite à une attaque.

Etude Hiscox – Cybersécurité : La riposte des entreprises s’intensifie face à la hausse des pertes liées aux cyberattaques. Si le nombre d’entreprises touchées par un cyber incident a chuté, passant de 61 % à 39 % en 2019, les pertes liées à des cyberattaques ont presque été multipliées par six.

Selon l’étude annuelle menée par la compagnie d’assurance Hiscox, les pertes liées à des cyberattaques ont presque été multipliées par six au cours de l’année écoulée, passant d’un coût médian de 9 000 euros à 51 200 euros par entreprise.

Cependant, certains signes montrent que ces dernières réagissent en adoptant des mesures de sécurité plus rigoureuses et en augmentant leurs dépenses en matière de cybersécurité (+39 % en 2019). Le Rapport 2020 sur la gestion des cyber-risques présenté pour la quatrième année consécutive par Hiscox analyse un échantillon représentatif d’organisations des secteurs privés et publics aux États-Unis, au Royaume-Uni, en Belgique, en France, en Allemagne, en Espagne, aux Pays-Bas et en Irlande.

Chaque entreprise a été évaluée sur sa stratégie de cybersécurité et son exécution, mais aussi classée en conséquence. Les résultats ont montré une nette amélioration dans la gestion du risque cyber, avec une multiplication par deux du nombre d’entreprises classées « expertes », passant de 10 à 18 %.

Les chiffres clés du rapport :

  • Augmentation des pertes liées aux cyber-incidents : Le total des pertes liées à des cyberattaques est passé de 1,1 milliards d’euros à près de 1,6 milliards d’euros. Les pertes les plus importantes s’élèvent à un montant de 79,9 millions d’euros (ces pertes impliquaient une société de services financiers britannique). En revanche, la perte la plus élevée pour un seul cyber-incident est de 14,4 millions d’euros (impliquait une société de services professionnels britannique). Les secteurs les plus ciblés ont été les services financiers, l’industrie, les technologies, les médias et les télécommunications. Les entreprises irlandaises ont subi les coûts médians les plus élevés, avec plus de 86 000 euros de pertes. La France compte parmi les pays où les pertes liées aux cyber-incidents sont les plus faibles.
  • Plus de 6 % des entreprises victimes d’une cyberattaque en 2019 ont versé une rançon suite à l’intrusion d’un logiciel malveillant. La perte la plus élevée pour une seule entreprise suite à une demande de rançon a dépassé les 46 millions d’euros. En France, près d’une entreprise sur cinq déclare avoir subi une attaque et versé une rançon (18 %).
  • Des entreprises de plus en plus « expertes » dans la gestion des cyber-risques : Après deux ans d’inertie, le nombre d’entreprises ayant obtenu le statut d’« experte » dans la gestion des cyber-risques est passé de 10 à 18 %. Les entreprises américaines et irlandaises sont les mieux placées, avec 24 % d’experts. De son côté, la France est le pays qui a le plus progressé, avec un bond de 6 % à 18 % d’entreprises classées comme « expertes ». Dans l’ensemble, deux fois plus d’entreprises ont réagi suite à incident cette année en ajoutant de nouvelles mesures de sécurité et en investissant davantage dans la formation de leurs collaborateurs.
  • Un bond des dépenses en cybersécurité : Les dépenses moyennes en matière de cybersécurité ont augmenté de 39 %. Ce sont les entreprises françaises qui ont le plus dépensé, avec une moyenne de 2,8 millions d’euros, talonnées par les entreprises espagnoles et américaines, avec respectivement 2,4 et 2,2 millions d’euros. Le Royaume-Uni, à la traîne dans les rapports précédents, a commencé à rattraper son retard : ses dépenses moyennes sont passées d’un peu moins de 818 000 euros à 1,4 millions d’euros.

« Alors que le nombre d’entreprises signalant une faille de cybersécurité est en baisse cette année sur la période observée, le coût de l’activité criminelle dans ce domaine semble nettement plus élevé. Le nombre d’entreprises ayant payé une rançon à la suite d’une attaque par logiciel malveillant est effrayant. Le rapport 2020 contient toutefois un message très positif. Il y a des preuves évidentes d’un changement progressif dans la gestion des cyber-risques avec des niveaux d’activité et de dépenses plus élevés. En revanche, l’adoption d’une cyber assurance dédiée demeure disparate, alors même que les entreprises sont beaucoup plus susceptibles d’être victimes d’un cyber incident que d’un incendie ou un vol, pour lesquels la plupart s’assurent automatiquement » commente Gareth Wharton, directeur général de Hiscox Cyber.

« Il est intéressant de voir que les organisations françaises ont pris la mesure de l’enjeu. Elles investissent fortement et de manière croissante dans la défense de leur patrimoine numérique. Les récents événements ont démontré la nécessité de disposer d’une système robuste et bien protégé. Nous observons également que pour une part toujours plus importante d’entre-elles, la cyberassurance devient un élément intégré dans leur stratégie, même si le réflexe d’équipement n’est effectivement pas encore automatique, il s’agit d’une tendance forte » explique Frédéric Rousseau, Responsable de Marché Cyber chez Hiscox France.

Le rapport montre également :

  • Les grandes entreprises en ligne de mire : plus de la moitié des entreprises de plus de 1 000 salariés (51 %) ont signalé au moins un cyber-incident courant 2019 quand 39 % de l’ensemble des entreprises sondées ont signalé au moins un cyber-incident sur la même période. Ce sont également les grandes entreprises qui ont signalé le plus grand nombre d’incidents (une médiane de 100) et d’infractions (80).
  • Une hausse du budget cybersécurité : Les entreprises classées « expertes » ont consacré un budget de 3,8 millions d’euros en moyenne à la cybersécurité, sur une durée de 12 mois. En revanche, les « novices » du classement ont dépensé en moyenne 1,18 millions d’euros.
  • Signes positifs : Le rapport 2020 montre qu’environ deux fois plus d’entreprises réagissent suite à un cyber-incident en prenant des mesures supplémentaires pour lutter contre les pirates informatiques. Les dépenses en formation des collaborateurs suite à une attaque ont augmenté de 25 %, contre 11 % l’année dernière. Les entreprises qui donnent la priorité aux initiatives clés en matière de sécurité informatique sont beaucoup plus nombreuses, et près des trois quarts des sondés (72 %) prévoient d’augmenter leur budget de cybersécurité de 5 % ou plus dans l’année à venir, contre 67 % l’année dernière.
  • Une hausse des souscriptions de cyber assurance suite à une cyberattaque : La proportion de personnes interrogées déclarant avoir souscrit une cyber assurance à la suite d’un cyber incident augmente de façon régulière (de 9 % à 20 % au cours des trois dernières années). Un peu plus d’un quart des entreprises (26 %) ont affirmé avoir une cyberassurance dédiée, tandis que 18 % ont soutenu qu’elles prévoyaient, soit de souscrire une assurance cyber autonome, soit de l’ajouter à leur police d’assurance générale. Les entreprises classées comme « expertes » sont en avance sur la concurrence : près de la moitié (45 %) ont déclaré disposer d’une cyber assurance dédiée.

Pour plus d’information, vous trouverez dans ce lien un exemplaire complet du Rapport Hiscox 2020 sur la gestion des cyber-risques.

L’étude

La société Hiscox a chargé Forrester Consulting d’évaluer la préparation aux cyberattaques des entreprises en matière de cybersécurité. Au total, 5 569 professionnels participant à l’effort de cybersécurité de leur entreprise ont été contactés (plus de 1 000 chacun au Royaume-Uni, aux États-Unis et en Allemagne, 500 chacun en Belgique, en France, en Espagne, aux Pays-Bas et 300 en Irlande). Issus d’un échantillon représentatif d’entreprises répertoriées par taille et par secteur, ces professionnels sont des hommes et des femmes situés en première ligne dans la lutte des entreprises contre la cybercriminalité. Les personnes interrogées ont répondu à cette enquête en ligne entre le 24 décembre 2019 et le 3 février 2020.