Au cours des dernières années, les termes : rançongiciel, hameçonnage, ou encore, cyberattaque, sont apparus dans le vocabulaire des entreprises. Malgré cela, peu d’entre elles ont chiffré le coût potentiel d’une cyberattaque pour leur organisation et encore moins ont contracté une cyberassurance.
Selon un rapport d’IBM Security, le coût moyen d’une cyberattaque est évalué à 4,35 M$. La firme informatique a interrogé plus de 550 entreprises entre mars 2021 et mars 2022 pour déterminer cette évaluation. De même, les rançons réclamées par les cyberattaquants sont dorénavant traitées en cryptomonnaies pour la quasi-majorité.
Que devons-nous chiffrer ?
C’est la question à laquelle je dois répondre le plus fréquemment lors de mes interventions en gestion de crise. Afin de réaliser un portrait réaliste de la situation, l’évaluation doit se diviser en deux parties :
Première partie : coûts visibles
- Enquête technique
- Relations publiques et conseils en image
- Communication au sujet de l’incident auprès des clients
- Frais de justice et de rançon
- Mise en conformité réglementaire
- Sécurisation des données corrompues
- Renforcement des moyens de sécurisation
Seconde partie : coûts cachés
- Perte de crédibilité
- Perte de la valeur de la marque commerciale
- Perte de propriété intellectuelle
- Augmentation du coût de la dette
- Perte de confiance de la part des collaborateurs
- Perte de confiance de la part des clients
- Perte de chiffre d’affaires à la suite de l’interruption de l’activité
- Augmentation des primes d’assurance
- Dévalorisation des partenariats
- Difficultés accrues à embaucher
Vecteurs d’attaque initiaux
Toujours selon le rapport d’IBM, l’hameçonnage demeure encore un fléau bien réel au sein des entreprises. À cela s’ajoutent : messagerie compromise, vulnérabilité d’un logiciel tiers, identifiants volés ou compromis, mauvaise configuration de l’infonuagique, perte de données accidentelle ou perte de dispositif.
Cycle de vie
Les entreprises qui vont le mieux s’en sortir et cela, le plus rapidement, seront celles qui auront planifié adéquatement la manière de réagir en cas de violations de données, car cela va leur permettre de gagner du temps et de l’argent. En 2022, il fallait en moyenne 277 jours (environ 9 mois) pour identifier et neutraliser une attaque. La mise en place d’un comité et d’intervenants en gestion de crise qui auront préparé l’entreprise aux risques propres aux cyberattaques permet de réduire à 200 jours ou moins le temps nécessaire pour identifier et neutraliser une violation de données, et ainsi, de réaliser de précieuses économies.
Il faut mentionner que le nombre d’attaques par rançongiciel a augmenté dans les dernières années et que l’aspect destructif de ces attaques est devenu de plus en plus coûteux. Les violations de données par rançongiciel ont ainsi augmenté de 41 % depuis l’année dernière et il a fallu 49 jours de plus que la moyenne pour les identifier puis les neutraliser. De plus, les attaques destructrices ont coûté 430 000 $ de plus en comparaison des années précédentes.
Réponse aux incidents
Avoir un plan de réponse aux incidents est une bonne chose. Le tester est encore mieux. Le plan de réponse aux incidents (RI) est une première étape importante pour les entreprises. En testant régulièrement ce plan, vous serez en mesure d’identifier les faiblesses de votre cybersécurité de manière proactive et vous permettra de renforcer votre défense. Il s’agit d’un bénéfice certain à plusieurs égards, incluant les économies liées à la gestion d’une cyberattaque. On évalue que les entreprises ayant mis en place une équipe RI effectuent une économie moyenne de 2,6 M$.
Je vous rappelle qu’une bonne préparation en matière de gestion de crise est votre meilleur allié lorsque survient un incident susceptible d’entraîner une perte de réputation.