IDC France vient de publier l’édition 2017 de l’Observatoire de la Cyber sécurité qui met en avant la nécessité pour les entreprises de prendre les mesures pour  faire face à la recrudescence des attaques ciblées et la nécessaire sécurisation des terminaux mobiles.

La prolifération continue des menaces, l’évolution de la législation autour de la protection des données et la transformation numérique des entreprises impactent profondément la démarche sécurité.

Les cyber-attaques sont plus que jamais une réalité concrète dans les entreprises françaises.

Elles sont en hausse pour une majorité des entreprises interrogées (51%) par rapport au nombre d’attaques subies au cours de l’année 2016.

La transformation numérique croissante des différents secteurs de l’entreprise ouvre de nouvelles perspectives aux hackers : c’est désormais toute l’entreprise qui est impactée par les cyber-attaques.

L’important pour les entreprises, plutôt que de vouloir essayer de réduire le nombre d’attaques subies, est de pouvoir réagir efficacement contre ces attaques et de subir le moins d’impacts négatifs, que ce soit en termes financier, en termes d’image ou en matière de protection des données.

-         Les résultats de l’étude montrent que les entreprises sont très nombreuses à avoir subi les conséquences négatives de ces attaques sur leur activité au cours des 12 derniers mois.

Elles sont près de 70% à citer les conséquences directes de ces cyber-attaques sur leur activité :

-         indisponibilité du site Internet de l’entreprise pendant plusieurs heures (39%),

-         retard de livraison auprès des clients (27%)

-         ou arrêt de la production pendant quelques heures.

Une des difficultés réside dans la mesure des conséquences financières de ces différents impacts pour l’entreprise : elles ne sont que 20% à faire une analyse de ce type  et à considérer que leur bilan est directement touché par les cyber-attaques qu’elles subissent.

La cybercriminalité coûte de plus en plus cher

La cybercriminalité coûte en moyenne 11,7 millions de dollars par an, soit une hausse de +62 % en cinq ans, d’après une étude menée par Accenture.

Les infections par malware sont les cyber-attaques les plus coûteuses, avec 2,4 millions de dollars par incident en moyenne.

C’est aux Etats-Unis que le coût moyen est le plus élevé tandis que l’Allemagne enregistre la plus forte hausse du coût total de la cybercriminalité.

En moyenne, une entreprise subit 130 violations de sécurité*par an, soit une hausse de +27,4 % par rapport à 2016, et un quasi-doublement en l’espace de cinq ans.

Les secteurs les plus touchés sont les services financiers et l’énergie, avec respectivement un coût annuel moyen par entreprise de 18,28 et 17,20 millions de dollars.

Une augmentation de la durée nécessaire pour corriger les problèmes.

Parmi les incidents les plus longs à traiter se trouvent ceux qui viennent de l’intérieur, avec une moyenne de 50 jours, contre un peu plus de 23 jours pour les attaques par ransomware.

-         Les actions à mettre en place :

Afin de réduire les impacts négatifs des cyber-attaques, les actions à mettre en place sont aussi nombreuses que les attaques sont multiples et variées.

Les DSI doivent définir des priorités en termes de sécurité informatique.

La première priorité des entreprises consiste à éduquer les utilisateurs pour les familiariser avec les règles et les politiques de sécurité informatique mises en place par l’entreprise.

Alors que pendant de nombreuses années, les utilisateurs se sont progressivement affranchis des problématiques de sécurité informatique alors gérées presque exclusivement par le département informatique et celui de la sécurité IT.

Mais, avec la transformation numérique des entreprises et l’évolution réglementaire vers la mise en place du GDPR au niveau européen (règlement général sur la protection des données), la problématique de sécurité devient un sujet de forte préoccupation  pour les directions métiers.

* Une violation de sécurité (« breach ») est définie comme une infiltration au sein d’un réseau central ou d’un système d’entreprise.