Une enquête menée par l’Institut de Recherche Technologique (IRT) System X auprès des PME et TPE françaises a évalué le coût des attaques par cryptovirus pour ces entreprises. Si le coût moyen de ces attaques est plus faible que les estimations généralement avancées, le nombre d’attaques réussies est en revanche plus élevé, ce qui se traduit par un coût global non négligeable.

Entre 2016 et 2019, System X a suivi une soixantaine de petites PME françaises victimes de cyberattaques, toutes régions et tous secteurs confondus.

Les attaques les plus souvent rencontrées sont les rançongiciels de type cryptovirus, avec une probabilité de 2 à 5% d’être touchée pour une PME de moins de 50 salariés (ce qui représente entre 100 000 et 250 000 entreprises victimes par an). Viennent ensuite les fraudes au président et les faux ordres de virements. Les autres attaques recensées sont pour la plupart des attaques ciblées : escroquerie au faux support technique, fraude aux sentiments, usurpation d’identité, défaçage d’un site web, prise de contrôle de messagerie, piratage téléphonique, mauvaise protection des caméras, captation de nom de domaine ou vol de compte bancaire. Très peu d’attaques par déni de service (DDos) ont été rencontrées.

1 – Rançonnage par cryptovirus : un coût médian avoisinant le millier d’euros

En termes d’impact financier, le coût moyen pour une TPE s’évalue actuellement en milliers d’euros par attaque réussie, alors que les chiffres communiqués jusqu’à présent laissaient supposer des dizaines, centaines voire millions d’euros. La médiane se situe autour d’un millier d’euros, ce qui montre que beaucoup d’attaques réussies se résolvent pour un coût relativement faible, en particulier quand les sauvegardes ne sont pas touchées. Le montant total pour les entreprises victimes de cryptovirus s’élève néanmoins à 700 millions d’euros par an.

2 – Des préjudices indirects souvent mal estimés

À cela s’ajoute souvent un préjudice au niveau humain fréquemment sous-estimé, comme la fragilisation des collaborateurs ayant introduit le virus dans l’entreprise, ou la perte de cohésion du groupe. En revanche, l’impact sur l’image de l’entreprise reste assez limité, hormis les cas où l’attaque intervient à un moment important pour l’entreprise, comme le lancement d’un nouveau produit.

3 – Les failles de l’écosystème, une porte d’entrée de choix

Fait notable, les déficiences externes font jeu égal avec les déficiences externes pour expliquer pourquoi ces attaques réussissent. Plusieurs d’entre elles proviennent en effet de manquements au niveau de l’écosystème des entreprises, notamment du côté des prestataires ou éditeurs informatiques, des opérateurs télécom, des fournisseurs de messagerie, mais aussi des électriciens et banquiers.

Dans la majorité des cas, ces attaques étaient évitables grâce des mesures de sécurité simples et d’un coût abordable, rappelant l’importance pour toute entreprise de mettre en place un ensemble de bonnes pratiques en termes de cybersécurité.

« Initiée dans le cadre du projet EIC (Environnement pour l’Interopérabilité et l’Intégration en Cybersécurité), cette enquête remet en cause les chiffrages habituels, ce qui modifie la vision à porter sur le cyber-risque », souligne Gilles Desoblin, Responsable de la thématique Défense et Sécurité à l’IRT SystemX. Pour le chercheur Philippe Laurier, spécialiste des questions d’intelligence économique à l’IRT SystemX et chargé de cette enquête, « beaucoup de victimes ont fait part de leur surprise lors d’une attaque car de bonne foi, elles pensaient avoir déployé des protections suffisantes. L’ignorance principale ne tient plus en une sous-estimation des attaques mais en une surestimation des défenses. »

Source : Enquête de l’IRT System X – itsocial