Dans un document fort pertinent et solidement documenté avec le concours de plusieurs organisations toutes aussi sérieuses (Forrester Consulting, Hiscox, OpinionWay - CESIN, Kaspersky Lab, CoveWare, Accenture et Ponemon Institute), on découvre que la situation de sécurité de l’information est bien loin des sorties médiatiques positives de nos élites. Et encore, les chiffres annoncés doivent être pris avec circonspection car sans doute sinon probablement plus édulcorés que dans la réalité. Hélas. Pour plus de précision, nous avons puisé largement dans les résultats de cette méta-étude.
Définition
Les cyberattaques réussies sont définies comme une intrusion (par exemple phishing, exploitation de faille), une attaque par rançongiciel ou une attaque par déni-de-service, avérées dans le système d’information d’une organisation et ayant un impact opérationnel et/ou financier. Le coût de l’ensemble de ces cyberattaques réussies se répartit entre un coût direct de 887 millions d'euros, le paiement des rançons qui s’élève à 888 millions d'euros et des pertes de production qui équivalent à 252 millions d'euros. Les montants en question font des cyberattaques un enjeu économique non négligeable pour la France, en particulier au vu de l’alimentation d’organisations cybercriminelles et du probable effet sur la balance des paiements. Ce coût global revêt une grande dispersion entre les types d’attaques et les organisations concernées. Il ne prend pas en compte les dépenses préventives pour éviter le succès des cyberattaques ni le coût si ces cyberattaques aujourd’hui mises en échec étaient réussies.
Méthode
Asterès s’est appuyé sur la littérature et une enquête menée auprès des adhérents du CRiP pour estimer le volume des cyberattaques réussies en France en 2022 puis pour calculer le coût moyen de la résolution de la crise, le coût moyen d’une rançon et les pertes moyennes de productivité. Les coûts ainsi estimés constituent les principaux impacts économiques des trois types d’attaques couvertes par l’étude : intrusion avérée dans le système d’information d’une organisation, attaque par rançongiciel, ou attaque par déni-de-service, ayant eu un impact opérationnel et/ou financier. Asterès a conduit une revue de littérature internationale sur les cyberattaques et leur impact économique dans le but de sélectionner les meilleures données et de proposer un chiffrage à partir de sources multiples. Ce sont in fine cinq études qui ont été retenues (Forrester Consulting - Hiscox, OpinionWay - CESIN, Kaspersky Lab, CoveWare et Accenture - Ponemon Institute2). En complément, Asterès a mené sa propre enquête auprès des adhérents du CRiP pour récolter les données manquantes. Ces différentes sources ont permis un chiffrage qui intègre les organisations de la sphère publique (administration centrale, collectivités territoriales/locales, établissements publics) et de la sphère privée. Le travail repose sur des moyennes, le plus souvent possible pondérées en fonction des tailles d’organisation, des types d’organisation et des types d’attaque.
Résultats des courses, c’est l’inflation
Asterès estime que les systèmes d’information des organisations françaises ont été victimes d’au moins 385 000 attaques réussies en 2022. Une organisation française subit en moyenne 1,8 cyberattaque réussie par an (43% des organisations toutes tailles confondues ont subi une moyenne de 4,3 cyberattaques au cours des douze derniers mois). Les vecteurs d’attaque les plus fréquents sont le phishing ou spearfishing et l’exploitation d’une faille existante. Le volume total de cyberattaques a été estimé en extrapolant le nombre moyen de cyberattaques par organisation à la démographie des organisations publiques et privées en France. D’après cette estimation, les 831 attaques portées à la connaissance de l’ANSSI en 2022 ne représenteraient donc que 0,2% du volume total. Cette estimation exclut les microentreprises (moins de 10 salariés) et les communes de moins de 500 habitants.
Par cyberattaque réussie, le coût public – privé est estimé en France en 2022 à 59 000 euros, une moyenne qui recouvre des réalités disparates selon le type d’attaque et d’organisation. Ce coût moyen se décompose entre un coût direct (44%), qui comptabilise les ressources allouées à la résolution de la crise (mobilisation des équipes internes, services professionnels externes, sollicitation des avocats), un coût des rançons (44%) et des pertes de productivité (12%). Le coût direct et celui des rançons constituent autant de ressources qui auraient pu être investies dans la transformation numérique et donc générer des gains de productivité. Au lieu de cela, les coûts de production augmentent, ce qui implique des pertes de qualité, des hausses de prix ou des hausses de dépenses publiques. Le temps de travail perdu est pour une part compensé plus tard dans l’année (à hauteur de 44% d’après Asterès), et constitue pour le reste une perte de productivité. Par-delà les moyennes, les cyberattaques les plus significatives en 2022 ont probablement atteint un coût d’au moins 10 millions d'euros, et pour les grandes entreprises le coût moyen d’une cyberattaque réussie peut être estimé à 225 000 euros hors rançon.
Alors que se profilent les Jeux olympiques déjà englués dans de sombres affaires de trafic d’influence et autres conflits d’intérêt, on chuchote – pour le moment – en haut lieu à la Préfecture de Police de Paris que nous n’aurons pas le temps de lutter correctement pour assurer la sécurité contre les attaques qui ne manqueront pas de se faire jour à la fois sur les infrastructures énergétiques, les systèmes d’identification et les hôpitaux. Garçon, vite une ciguë. Bien tassée.
54 % des médecins femmes ont été victimes de violences sexistes et sexuelles, selon une enquête de l’Ordre
Installation : quand un cabinet éphémère séduit les jeunes praticiens
À l’AP-HM, dans l’attente du procès d’un psychiatre accusé de viols
Le texte sur la fin de vie examiné à l'Assemblée à partir de fin janvier