Selon un nouveau rapport publié par Allianz Corporate & Specialty et intitulé Un guide pour les Cyber-Risques: gérer l’impact du développement de l’interconnectivité (A guide to Cyber-Risk – Managing the Impact of Increasing Interconnectivity) révèle que la cybercriminalité coûte, dans le monde, 445 milliards de dollars US par année, soit environ 400 milliards d’euros ou encore l’équivalent du budget total de la France, avec les dix premières économies mondiales représentant plus de 50% des coûts à elles seules. Depuis 2005 il ya eu 5,029 incidents signalés de violation de données aux États-Unis seulement, et au moins 200 infractions en Europe impliquant 227 millions d’enregistrements.
On estime que le coût moyen de chaque attaque sur les données est de 3,8 millions $, ce qui représente une augmentation de plus de 15% en un an.
Cybercriminalité: des risques très sous-estimés
Le rapport nous informe que le risque de cyber-attaque est celui qui est le plus sous estimé par les Entreprises bien que tout le monde soit aujourd’hui une cible.
73% des participants à l’enquête Allianz 2015 considèrent que la sous-estimation des cyber-risques empêche les entreprises de s’y préparer correctement. Parmi les autres obstacles on trouve les contraintes budgétaires (59%), l’insuffisance d’analyse du problème (54%), l’infrastructure informatique qui n’est pas adaptée à des changements majeurs (30%) et l’impossibilité d’identifier le personnel compétent (10%).
L’enquête montre également que les États-Unis ont des niveaux plus élevés de sensibilisation au cyber-risque en raison de leurs lois plus sévères que dans les autres pays. La majorité des États américains exigent des entreprises qu’elles informent les personnes victimes d’une violation. L’Europe se dirige dans la même direction, avec l’Union européenne (UE) qui est actuellement en train de finaliser sa loi sur la protection des données, prévue pour être introduite fin 2015, qui prévoit d’introduire une réglementation beaucoup plus strictes en termes de violations de données.
Les chiffres montrent clairement une augmentation sensible des cyberattaques qui deviennent dans le même temps de plus en plus fréquentes et sophistiquées. Le nombre de cyber-attaques détectées a augmenté de 48% en 2014 selon le rapport publié cette année par PwC.
Afin de se protéger contre les failles de sécurité, les entreprises devraient identifier quels sont leurs actifs clé à risque et prendre des décisions éclairer sur leur comportement vis à vis de ces risques : les accepter, les éviter, les atténuer ou encore les transférer.
La tendance de l’évolution
Le rapport d’Allianz prévoit que les entreprises seront de plus en plus exposées au cyber-risques au niveau de leur chaîne d’approvisionnement et que nous n’avons pas encore été les témoins d’un événement majeur de cybercriminalité aux proportions véritablement catastrophiques.
Jens Krickhahn, Practice Leader chez AGCS Cyber & Fidelity Europe Centrale et de l’Est , explique:
« Les échanges commerciaux avec les partenaires sont de plus en plus réalisés électroniquement.
Même si une société a confiance dans ses propres contrôles IT, elle demeure exposée au cyber-risque par le biais de ses partenaires d’affaires, de ses sous-traitants et de sa chaîne d’approvisionnement. »
L’Internet des objets est considéré comme l’un des facteurs les plus importants qui vont changer le visage de cyber-menaces conduisant à des risques interconnectés. Il va exacerber les vulnérabilités et augmenter de façon notable le potentiel de perte physique et de violation des données.
Alors, on fait quoi?
La direction de la Communication du Gouvernement Britannique (GCHQ) considère qu’approximativement 80% des cyber-attaques pourraient être empêchées ou leur impact réduit grâce une gestion élémentaire des cyber-risques basée sur des bonnes pratiques très simples :
Etape 1: Mettre en place une structure de gouvernance efficace, maintenir l’engagement fort du conseil
d’administration et produire des politiques de sécurité de l’information adaptées qui devraient inclure:
Etape 2 : La sensibilisation et la formation de l’ensemble du personnel
Etape 3 : Suivi des politiques et des procédures pour tous les réseaux et systèmes
Etape 4 : Procédures de gestion des incidents, y compris la réponse et la reprise après sinistre
Etape 5 : Les politiques et les procédures de sécurité des réseaux
Etape 6 : Gestion et contrôle des privilèges utilisateurs
Etape 7 : Lignes directrices de sécurisation des configurations
Etape 8 : Procédures de protection contre les malwares
Etape 9 : Contrôle de l’utilisation de supports amovibles
Etape 10 : Procédures de contrôle des terminaux mobiles et du télé-travail
La gestion des risques de sécurité de l’information est au cœur de la norme ISO 27001, la norme internationale qui définit les spécifications d’un système de gestion de sécurité de l’information (SMSI).
ISO 27001 exige que, pour obtenir la conformité à la norme, les organisations effectuent des évaluations des risques fondées sur des critères définis. Le résultat de l’évaluation du risque permettra à l’entreprise d’équilibrer les coûts des contrôles de sécurité à implémenter et à maintenir avec le coût du préjudice que l’entreprise est susceptible de subir suite à des failles de sécurité.