Cyber-attaques dans l’entreprise : fréquences et conséquences
Les Assises de la Sécurité se tenaient cette semaine à Monaco : une occasion pour nous de revenir sur l’augmentation des risques en matière de cybercriminalité et leurs conséquences pour les entreprises.
9 entreprises sur 10 ont été victimes d’une cyber-attaque en 2012, soit une augmentation de 11% par rapport à l’année précédente*. Les risques en matière de piratage de données se sont multipliés au rythme des avancées en matière d’usages et de technologies. E-commerce, M-commerce, BYOD, etc. / et autres sont autant de tendances qui ont permis plus de flexibilité dans la vie des entreprises, mais qui les ont aussi rendu plus vulnérables. Contrairement aux idées reçues, ce sont aujourd’hui les entreprises de toutes tailles qui sont touchées, y compris les petites : 31% des attaques en 2012 visaient des PME.
Certains secteurs sont plus touchés que d’autres, tout particulièrement la santé, l’hôtellerie, les transports, le commerce traditionnel et le e-commerce. A ce sujet, notre dernier livre blanc consacré à la cybercriminalité dans le e-commerce précise que 48% des attaques constatées sur l’année 2012 ont visé un site de vente en ligne.**
Deux exemples récents de cyber-attaques
Vodafone Allemagne vient de subir, en septembre 2013, un vol massif d’informations personnelles portant sur une base de deux millions de clients, y compris des coordonnées bancaires. Cette attaque a été réalisée en interne par un employé qui a su déjouer un système de sécurité pourtant déjà très performant.
En septembre 2012, la filiale Telvent de Schneider Electric, spécialisée dans les systèmes de contrôle industriels énergétiques, a été victime d’une attaque réseau. Des hackers d’origine chinoise ont réussi à contourner les pare-feu de TELVENT, et, après avoir investi des pans entiers de son réseau, y ont installé des logiciels malicieux afin de dérober des données sur un SCADA (système de contrôle de process industriel).
Vincent Jaussaud, Directeur de la sécurité technique chez Schneider, est revenu sur cet incident lors d’une intervention cette année aux Assises de la Sécurité, afin de détailler les actions mises en place pour éviter qu’une telle violation ne se reproduise. Au final, Schneider a désactivé les liens avec les parties contaminées de son réseau, mis en œuvre des procédures de contournements et mené une étude en interne avec ses experts pour déterminer l’étendue et la durée de l’attaque afin d’en tirer les conséquences pour l’avenir.
Ces exemples illustrent bien qu’aucune entreprise, même si elle a une politique de cybersécurité développée, n’est à l’abri d’une cyber-attaque. Mais quelles en sont les trois conséquences les plus problématiques pour les entreprises ?
1) Un préjudice financier
D’après une étude Symantec***, chaque violation de données coûterait en moyenne 2,86 millions d’euros aux entreprises. En dépit de cette menace et de l’énorme coût qui y est associé, la plupart des entreprises tardent à mettre en place une politique de sécurisation des systèmes d’information et sont, de fait, particulièrement vulnérables.
2) Une atteinte à la réputation
En plus des conséquences financières, l’image de l’entreprise est fortement atteinte lors d’une cyber-attaque. Cette mauvaise publicité risque d’ailleurs de s’aggraver si l’Union Européenne décide d’étendre l’obligation de notification des incidents de sécurité concernant les données personnelles à la CNIL (pour l’instant obligatoire seulement pour les sociétés de télécommunications). Une violation de données peut avoir un impact considérable pour une entreprise, que ce soit pour son image vis à vis de ses partenaires commerciaux, des prospects et investisseurs mais surtout de ses clients finaux. 97% des données sensibles visées lors d’une cyber-attaque sont des données personnelles**. Si une entreprise ne peut pas garantir la sécurité de son système d’information et devient victime d’une cyber-attaque, il persistera en interne comme en externe un sentiment négatif à l’égard de celle-ci : celui d’avoir vu sa confiance abusée.
3) Une baisse, voire une cession d’activité
Un vol de données commerciales ou même la corruption volontaire d’un fichier de données personnelles peut nécessiter une interruption, même passagère, de l'activité pour rétablir la confidentialité des données et la marche normale de l'entreprise.
Il faut savoir de plus qu’une attaque est difficilement détectable immédiatement. En France, le délai moyen entre une attaque et sa détection est de cinq jours dans 5% des cas et de 180 jours dans 45% des cas**. Plus l’entreprise réagit tardivement, plus les dégâts sont lourds et difficiles à rattraper.
Pour éviter d’être l’objet d’une cyber-attaque, les entreprises doivent assurer la sécurité de leur système d’information. Au-delà de l’aspect purement technique et des processus à mettre en place, nous leur recommandons fortement de souscrire à une assurance adaptée. Pour en savoir plus sur ce qu’une telle assurance devrait couvrir dans le cas précis de votre entreprise, n’hésitez pas à contacter Hiscox.
* Kaspersky, Enquête 2012 ; Symantec, Enquête 2012
** Trustwave, 2013 Global security report
*** Symantec, Cost of Data Breach 2013