Aujourd’hui, la question n’est plus de savoir si une entreprise va se faire attaquer mais quand…

En effet, l’usage du numérique dans les entreprises continue de s’intensifier avec l’adoption massive du télétravail et du travail hybride. En parallèle, les acteurs malveillants se perfectionnent et se professionnalisent encore davantage. D’après le « Panorama de la menace informatique », dernière étude de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), le nombre d’intrusions avérées a ainsi augmenté de 37 % entre 2020 et 2021.

Si les cyberattaques qui visent les grands groupes et les institutions sont de plus en plus médiatisées, il ne faudrait pas croire pour autant que les TPE et les PME sont à l’abri. Bien moins armées et moins informées, elles sont devenues au contraire des cibles privilégiées. Pour les hackers, les TPE et PME offrent, en effet, une forte rentabilité pour un minimum de risque en comparaison des grandes entreprises.

Selon l’assureur britannique Hiscox, un peu plus d’un tiers des entreprises de moins de 250 salariés indiquent avoir subi une attaque durant les douze derniers mois et ce n’est pas sans conséquences. Les préjudices sont facilement évalués, mais régulièrement on ne prend en compte que les conséquences immédiates du sinistre, les coûts directs. Les coûts indirects sont eux généralement sous-estimés, voire totalement omis, alors qu’ils peuvent représenter la majorité des coûts à long terme.

 

Une estimation des coûts globaux souvent erronée

Les coûts directs peuvent être comparés à la part émergée de l’iceberg car ils représentent en moyenne seulement 10% du coût total des dommages subis par une entreprise. Ils comprennent :

  • L’enquête technique qui a pour objectif de déterminer comment le cybercriminel a pu pénétrer dans le système, en identifier les failles et les exploiter. Ensuite, comme le stipule le RGPD, l’entreprise est tenue de notifier l’intrusion à ses clients et de mettre en place une hotline pour répondre à leurs questionnements. Si la perte des données est importante, de plus amples actions de communications vont faire monter la facture finale.
  • Par la suite, il va s’agir de sécuriser au plus vite les données, se mettre en conformité réglementaire et améliorer les dispositifs de protection pour stopper la cyberattaque.
  • Pour finir, si le dirigeant a préféré être accompagné d’un avocat lors du sinistre et durant l’ensemble des démarches juridiques, il va devoir également régler des frais d’avocats et de justice. Ces frais se poursuivront bien après l’attaque et basculeront pour la plupart dans des dépenses indirectes.

Mais au-delà de ces coûts visibles de court terme s’ajoute la partie immergée de l’iceberg, des coûts indirects susceptibles d’avoir de lourdes conséquences tant sur le plan financier qu’organisationnel. Ces dépenses sont fréquemment sous-estimées, les entreprises n’étant pas tenues de les rendre publiques.

 

Des dépenses complexes à mesurer sur le long terme

Les coûts engendrés sur le long terme sont en effet peu médiatisés et peuvent surprendre un dirigeant lorsqu’une attaque survient. Ces montants sont difficilement quantifiables dans les jours et les mois qui suivent la cyberattaque, tels que les dépenses découlant d’une nouvelle orientation stratégique par exemple. Ils englobent :

  • L’interruption ou, tout du moins, la perturbation des activitésde l’entreprise est complexe à mesurer car elle peut durer quelques heures comme plusieurs semaines en fonction de l’intensité de l’attaque.
  • La perte d’informations de propriété intellectuelle ou de données clients s’avère souvent extrêmement préjudiciable et parfois irrémédiable.
  • Une attaque peut avoir des conséquences néfastes sur l’image de marque et la relation avec les clients et les partenaires, pouvant aller jusqu’à des ruptures de contrats. Pour ces raisons, il est fondamental de rester transparent et d’organiser des actions de communications fortes, pour restaurer la confiance et préserver le dialogue avec ses partenaires.
  • Enfin, l’entreprise ayant subi une cyberattaque risque de faire face à l’augmentation de certaines factures comme l’accroissement du coût de sa dette ou de sa prime d’assurance, si elle a fait le choix de se couvrir avec une cyber-assurance.

 

Pour approfondir ces sujets, n’hésitez pas à contacter nos analystes !

________________________

Fondée en 1997, Markess by Exaegis est la société d’études et de conseil de référence sur le numérique en France. Le socle de recherche continue, associé aux études et au conseil sur mesure, permet aux dirigeants des entreprises et organisations publiques comme des fournisseurs de solutions d’obtenir les informations, l’accompagnement et les outils indispensables dont ils ont besoin pour saisir les grands défis, les enjeux de leur transformation digitale et atteindre leurs objectifs.

Ajoutez vos commentaires

Your email address will not be published.