Elit-Cyber

Combien coûte une cyberattaque à une entreprise française ?

7 juillet 2022
Carine Bismuth

En 2021, « les petites entreprises, qui comptent moins de dix employés, ont vu leur nombre d’attaques multiplié par quatre, passant de onze à quarante », rapporte l’assureur Hiscox (1). Du grand groupe à la TPE, le cyber risque est désormais l’affaire de tous avec pour conséquence des dépenses contraintes parfois fatales pour l’organisation. Pour les limiter, et même les éviter, rien de tel qu’une politique cyber sécuritaire adaptée, menée avec le soutien d’experts comme Elit-Cyber, pour sensibiliser les collaborateurs en amont et déployer par exemple un centre opérationnel de sécurité (SOC).

 

De 15 000 euros à plus de 4 millions d’euros. Tels sont respectivement « le coût médian d’une cyberattaque » et « le coût total moyen » d’une violation de données en France en 2021, d’après le groupe international d’assurance Hiscox (1), d’une part, et IBM Security (2), d’autre part. Si l’ensemble des analystes reconnaissent une forte progression de la menace cyber depuis début 2021 (« plus d’une entreprise sur deux déclare avoir subi entre une et trois attaques cyber [réussies] au cours de l’année » (3) si bien que « la France se classe au second rang des pays les plus touchés en Europe, derrière les Pays-Bas et devant le Royaume-Uni » (1)), a contrario, le coût global présumé d’une intrusion malveillante diffère grandement selon les études.

 

Un coût plus élevé chez les grandes entreprises

Ces écarts s’expliquent en partie par le profil des participants : sans surprise, en effet, l’impact financier d’une cyberattaque est étroitement corrélé avec la taille de l’organisation. Comme le relève Hiscox dans son rapport, bien que celles-ci soient mieux armées, « les entreprises de grande taille restent celles qui sont les plus susceptibles d’être touchées » avec à la clé des dégâts logiquement très coûteux.

Par conséquent, pour comprendre les montants cités en introduction, il faut savoir que Hiscox s’est appuyé sur les réponses de plus de neuf cents professionnels en charge de la cybersécurité œuvrant majoritairement dans des TPE-PME (60% des répondants) tandis que IBM Security n’a interrogé que des ETI et des multinationales (quelque trente-trois). Outre la taille de l’entreprise, un autre critère essentiel est à considérer, celui de la méthode de calcul employée permettant d’établir avec précision la somme des dommages subis.

 

La trompeuse « partie émergée de l’iceberg »

« Six entreprises sur dix ont connu un impact sur leur business, avec pour principaux retentissements une perturbation de la production (21%), et/ou une compromission d’information (14%), et/ou une indisponibilité du site web pendant une période significative. » Ces conclusions tirées du 7e baromètre annuel de la cybersécurité des entreprises (3) induisent que le coût global d’une cyberattaque ne peut et ne doit pas se résumer aux seuls frais de l’enquête technique, qui suit l’attaque pour en déterminer l’origine, cumulés aux frais de sécurisation des données, de mise en conformité réglementaire (éventuellement en lien avec le versement d’une amende à la Cnil), ou encore de justice. Ces dépenses ne sont que la « partie émergée de l’iceberg », alerte Deloitte (4).

 

Gare aux coûts cachés à moyen terme

« Les amendes, les dépenses en relations publiques, les coûts liés aux actions immédiates à mettre en place pour protéger les clients, toutes ces conséquences sont bien prises en compte par les dirigeants », dit le géant de l’audit financier et du conseil. Pour autant, celles-ci donnent lieu à des « estimations généralement erronées. [Car] les conséquences d’une attaque peuvent se répercuter sur des années sous la forme de coûts cachés, dont la plupart sont beaucoup moins facilement mesurables : atteinte portée à l’image de l’entreprise, interruption d’activité, perte d’informations confidentielles, entre autres atouts stratégiques », détaille. De surcroît, « la gestion immédiate des premiers dommages représente moins de 10% des dommages totaux [quand] les dégâts immatériels représentent plus de 40% des dommages subis ».

 

La somme des coûts directs et indirects

Pour un chiffrage fiable et réaliste du coût global d’une cyberattaque, il convient donc d’additionner les coûts directs et indirects « qui se révèlent parfois avec un fort délai de latence [et ont des] effets délétères parfois mortels pour l’entreprise », pointe un rapport du Sénat (5). Pour aider les chefs d’entreprise comme les responsables de la sécurité des systèmes d’information (RSSI), Deloitte a listé quatorze « impacts » à prendre en compte, scindés en deux groupes distincts.

La « partie émergée (coûts financiers les plus connus) » comprend :

  1. les enquêtes techniques,
  2. la notification client de l’intrusion,
  3. la sécurisation des données client post-incident,
  4. la mise en conformité réglementaire,
  5. les relations publiques,
  6. l’amélioration des dispositifs de cybersécurité,
  7. les honoraires d’avocat et les frais de justice.

 

Quant à la « partie immergée (coûts financiers cachés ou moins visibles) », elle inclut :

  1. les impacts liés à la perturbation ou l’interruption des activités,
  2. l’érosion du chiffre d’affaires liée à la perte de contrats client,
  3. la perte de confiance accordée par le client,
  4. la dépréciation de la valeur de marque,
  5. la perte de propriété intellectuelle,
  6. l’augmentation du coût de la dette,
  7. l’augmentation des primes d’assurance.

 

De quelques milliers à plusieurs millions d’euros

Au final, au regard de ces précisions et recommandations, quel est le niveau de dépenses auquel une entreprise française peut s’attendre suite à une cyberagression ? Plusieurs experts s’accordent sur un coût global moyen. Celui-ci s’élève à 7 000 euros environ pour une TPE (moins de dix salariés) ; il est compris entre 20 000 et 50 000 euros pour une PME, mais peut aussi dépasser 300 000 euros en cas d’infection sévère ; il varie de plusieurs centaines à plusieurs millions d’euros pour une ETI ou un grand groupe. Ainsi, « les petites entreprises de dix à quarante-neuf salariés, qui semblent particulièrement sensibles à la vulnérabilité des serveurs ou au piratage d’identifiants (mentionnés par 41% d’entre elles contre 37% en moyenne) (…), sont les plus touchées en ce qui concerne le montant des pertes proportionnellement à la taille de l’entreprise », constate Hiscox (1).

 

Sanctions règlementaires : ça peut coûter cher

Parmi les coûts engendrés par une fuite de données « susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes physiques » (pour reprendre les termes de l’article 35 du RGPD) figurent de possibles sanctions règlementaires. Négliger sa cybersécurité peut coûter (très) cher. Le 15 avril 2022, La Cnil a, par exemple, infligé une amende de 1,5 million d’euros à Dedalus Biologie, l’un des principaux éditeurs de solutions dédiées aux métiers de la santé, au motif principal de « défauts de sécurité ayant conduit à la fuite de données médicales de près de 500 000 personnes ».

 

(1) Rapport Hiscox 2022 sur la gestion des cyber-risques, Hiscox Assurances (mai 2022). (2) Cost of a data breach report 2021, dix-septième rapport annuel IBM Security – Ponemon Institute (juillet 2021). (3) 7e baromètre annuel de la cybersécurité des entreprises OpinionWay – le CESIN (le Club des experts de la sécurité de l’information et du numérique) (janvier 2022). (4) Cyberattaques : comment chiffrer les impacts ? Le visible et l’invisible, Deloitte (2016). (5) La cybersécurité des entreprises – Prévenir et guérir : quels remèdes contre les cyber virus ?, rapport d’information du Sénat (juin 2021).
Contactez-nous !