Étude sur l’impact financier de la sécurité informatique sur les entreprises

Étude sur l’impact financier de la sécurité informatique sur les entreprises

En 2016, Kaspersky Lab en association avec B2B International a conduit une étude internationale auprès de plus de 4000 représentants d’entreprise dans 25 pays. Ils ont notamment étudié leur budget alloué à la sécurité informatique, la complexité de leur infrastructure, leur attitude envers les incidents de sécurité et leurs solutions, ainsi que le coût réel des vols de données et des incidents de sécurité. Ce rapport se concentre sur l’aspect financier de la cybersécurité : combien les entreprises dépensent pour se protéger ainsi que pour réparer les dégâts d’un incident informatique.

Cliquez ici pour télécharger la version régionale du rapport avec les statistiques de la France. Le rapport est disponible gratuitement après inscription.

Principales conclusions

Les budgets dédiés à la sécurité informatique devraient augmenter de 14% en moyenne dans les trois prochaines années.

Toutes les entreprises citent la complexité des infrastructures informatiques comme la raison principale pour investir dans la sécurité : 48% des grandes entreprises et 42% des PME.

Les dépenses annuelles consacrées à la sécurité varient de 1000 dollars pour les très petites entreprises à plus d’un million de dollars pour les grandes entreprises.

graphic1

 

Le coût moyen pour réparer les dégâts d’un seul incident informatique est estimé à 86 500 dollars pour les PME et à 861 000 dollars pour les grandes entreprises.

Les types d’attaque les plus chers sont les vols de données utilisant des vulnérabilités zero-day et les attaques ciblées. Les PME souffrent beaucoup des exploitations d’appareils mobiles alors que les grandes entreprises dénoncent l’impact important de l’hacktivisme.

Enquête sur les raisons derrière les dépenses en sécurité

Il ne fait aucun doute que la sécurité informatique est en train de devenir une priorité essentielle pour les entreprises, tandis que leur dépendance à des technologies complexes ne cesse d’augmenter. Pour les entreprises, la complexité accrue des infrastructures informatiques a d’ailleurs été le facteur principal de l’augmentation des dépenses en sécurité informatique (48%). 42% des PME partagent cet avis, avec seulement un quart (24%) des TPE qui considèrent la complexité comme l’une des principales raisons pour augmenter leur budget alors que 35% de ces dernières considèrent les nouvelles activités / la croissance comme la raison principale.

Bien qu’ils trouvent difficile de démontrer à leur direction le RSI que peut engendrer l’investissement dans la sécurité informatique, les entreprises de toutes tailles sont d’accord sur le fait qu’elles continueront à améliorer leur sécurité informatique, peu importe le RSI, car elles considèrent qu’il vaut mieux prévenir que guérir.

graphic2

 

En termes monétaires, deux tiers (66%) des TPE dépensent moins de 1000 dollars par an dans la sécurité informatique alors que 68% des grandes entreprises dépensent plus d’un million de dollars.

Incidents rencontrés

Seulement au cours des 12 derniers mois, plus d’un tiers des entreprises (38%) a été infecté par un virus ou un malware engendrant une perte de leur productivité et a observé un mauvais usage des ressources informatiques par ses employés (36%). Une entreprise sur cinq (21%) a perdu des données ou a vu ses données exposées après une attaque ciblée.

 

graphic3

 

Pour tous les incidents rencontrés par les entreprises, près de la moitié (43%) ont entraîné un vol de données, une perte ou une exposition quelconque. Pour remettre les choses dans leur contexte, l’impact financier moyen d’un seul vol de données pour une PME est estimé à près de 86 600 dollars et pour les grandes entreprises à la somme effarante de 861 000 dollars. Selon notre étude, le temps que le personnel informatique consacre à ces incidents représente le coût supplémentaire le plus important aussi bien pour les PME que pour les grandes entreprises.

Estimation de l’impact financier moyen d’un vol de données

Nous avons demandé aux entreprises de diviser les frais entraînés par un vol de données en plusieurs catégories afin de mieux en estimer l’impact général, en sachant que dans la plupart des cas, les coûts entraînés ne consistent pas seulement à employer plus de ressources informatiques. Pour une PME ou une grande entreprise, une perte typique engendre les dépenses suivantes :

graphic4

graphic5

Il ne s’agit cependant que d’une moyenne parmi toute une série de vecteurs d’attaque : certaines attaques peuvent coûter bien plus cher. Les vulnérabilités inconnues dites  » zero-day  » (bien que rares) ont coûté aux PME environ 149 000 dollars et aux grandes entreprises 2 millions de dollars. Les attaques ciblées, quant à elles, ont respectivement engendré des pertes de 143 000 dollars et 1,7 million de dollars.

Une réaction rapide du département responsable de la sécurité informatique limite les coûts

Dans tous les cas, on observe une augmentation de l’impact financier avec le temps : la détection rapide d’un vol de données est un facteur clé pour minimiser non seulement la perte de données mais aussi les dépenses d’une entreprise. Plus le vol tarde à être détecté, plus cela coûtera cher aux entreprises aussi bien sur le plan financier qu’au niveau de l’intégrité de leurs données. Même quand les vols sont détectés presque aussi tôt, les PME déclarent qu’un vol estimé à 28 000 dollars coûtera 105 000 dollars s’il passe inaperçu pendant une semaine. Pour les grandes entreprises, où un système de détection est mis en place, les dégâts financiers sont tout de même de 393 000 dollars et peuvent dépasse les un million de dollars si le vol n’est pas détecté pendant plus de sept jours.

graphic6

 

Les entreprises étant conscientes des vulnérabilités de leurs réseaux et sachant que celles-ci peuvent être exploitées, la prévalence et le succès des cyberattaques ciblant les entreprises ne peuvent qu’augmenter. Si les budgets alloués à la sécurité informatique n’augmentent que modestement au cours des prochaines années, l’impact financier pourrait devenir encore plus important.

Conclusion

Alors que les cyberattaques sont inévitables, la façon dont les entreprises utilisent leurs budgets et ressources sera vitale dans les années à venir afin de l’imiter l’impact financier (ainsi qu’en matière de réputation). Alors que les pertes constituent une conséquence inévitable, il est essentiel de les minimiser. C’est notre objectif et en moyenne, les clients de Kaspersky Lab qui subissent un vol de données observent ensuite des conséquences financières moins importantes que les clients de nos concurrents – 30% de moins pour les PME et 18% de moins pour les grandes entreprises.

Pour en savoir davantage sur les solutions Kaspersky Lab pour petites et moyennes entreprises visitez le site web de Kaspersky Lab.

L’impact financier peut uniquement être limité en utilisant une approche holistique de la sécurité informatique au lieu de reposer uniquement sur des technologies de détection. Il est encourageant de voir que 45% des entreprises pensent que les softwares et hardwares seuls ne suffisent pas à les protéger contre tous les incidents informatiques. Néanmoins, elles n’utilisent pas forcément les bonnes ressources pour assurer une protection complète : 73% pensent encore qu’un simple logiciel de sécurité est efficace.

Découvrez les dernières solutions pour entreprise de Kaspersky Lab qui en plus d’une simple prévention, offrent aux départements de sécurité une réelle assistance.

En plus d’une technologie de prévention, un personnel vigilant, informé et conscient des risques auxquels font face les entreprises aujourd’hui et demain, permettra d’améliorer la détection et de réduire l’impact.

Néanmoins, au moment de déterminer où les budgets alloués à la sécurité seront dépensés, les entreprises font généralement preuve d’une certaine réticence quant à accepter une aide extérieure : seulement 18% des entreprises considèrent de meilleures connaissances et renseignements sur les menaces informatiques comme une des meilleures méthodes pour améliorer la détection.

Découvrez davantage d’informations sur Kaspersky Security Intelligence Services  

Malgré ce sentiment, sans tous les avantages que peuvent apporter de meilleures connaissances et renseignements, les entreprises ne pourront pas améliorer leur détection et combattre le nombre grandissant et la gravité des menaces informatiques. La seule manière pour les entreprises de réduire les risques ainsi que les conséquences financières inévitables d’une cyberattaque est d’aller au-delà de la prévention vers la récupération et l’atténuation.

Cliquez ici pour télécharger la version régionale du rapport avec les statistiques de France. Le rapport est disponible gratuitement après inscription.

Conseils