Cyberattaques : Un Gouffre Financier Pour Les PME

Le coût additionné des cyberattaques, notamment par cryptovirus touchant les PME françaises, s’élève à plus de 700 millions d’euros par an selon une étude terrain de SystemX. 

Un coût exorbitant, bien au-delà de ce qu’on peut imaginer : la cybercriminalité coûterait 700 millions d’euros par an aux PME. C’est le résultat d’une enquête terrain inédite menée par l’IRT SystemX auprès de PME et TPE françaises, victimes de cyberattaques. L’étude dévoile l’impact réel des cyber-préjudices et fait voler en éclats deux grandes croyances communément admises : le nombre de cyberattaques réussies s’avère bien supérieur aux estimations habituellement rendues publiques, tandis que le coût moyen des cyberattaques se révèle en revanche beaucoup plus faible que supposé. Zoom sur les 9 principaux enseignements de cette étude, dévoilés à l’occasion de la conférence « Cyber-Préjudices : au-delà des idées reçues » organisée par l’IRT SystemX, la Fédération Française de l’Assurance et la Chaire Cyber Insurance, qui a eu lieu le 25 juin.

L’enquête terrain a été menée sur 3 ans, de 2016 à 2019, auprès de plus de 60 entreprises françaises, principalement des PME/TPE de moins de 50 personnes, victimes de cyberattaques. Toutes les régions et secteurs économiques étaient représentés. L’objectif de cette enquête était de mesurer les préjudices causés au tissu économique, puis d’élaborer des modèles de calcul des coûts ainsi que de l’exposition d’une entreprise au risque. Elle a également permis de collecter des signaux faibles, annonciateurs de nouvelles tendances, et notamment d’évolutions à attendre sur le mode opératoire de certaines formes d’attaques.

Rançonnage, fraudes au président et faux ordres de virement

Parmi les catégories d’attaques étudiées, le rançonnage par cryptovirus et les fraudes au président et faux ordres de virement prennent la plus grande place. Ont également été rencontrés : l’escroquerie au faux support technique, la prise de contrôle de messagerie, le piratage téléphonique, la fraude aux sentiments, l’usurpation d’identité, la mauvaise protection des caméras, la captation de nom de domaine, le défaçage ou encore le vol de compte bancaire. A noter la grande rareté des attaques DDos par déni de service contre des PME, ce qui constitue l’un des résultats inattendus de cette enquête et confirme que ce type d’attaque résulte avant tout d’un ciblage intentionné de la part d’un tiers.

Premier enseignement, la fréquence des attaques réussies en matière de cryptovirus est plus haute que supposée jusqu’alors : pour une PME de moins de 50 salariés, la probabilité d’être victime ne se mesure annuellement plus en pour mille mais en pour cent, se situant entre 2 et 5% (soit entre 100 000 et 250 000 entités par an). Elles ne se situent donc plus dans la catégorie des événements rares.

En revanche, le coût moyen d’une attaque par cryptovirus est inférieur à ce qu’il est généralement communiqué via les médias : en effet, le coût moyen pour une TPE s’évalue actuellement en milliers d’euros par attaque réussie, en non en dizaines, centaines voire en millions d’euros. A noter que la progression des coûts n’est pas proportionnée seulement à celle de la taille d’une entreprise, mais dépend d’autres facteurs parfois inattendus tels que le mode de gestion des ressources humaines .

Un préjudice humain sous-estimé

La médiane constatée (de l’ordre du millier d’euros) est basse et se situe nettement au-dessous de la moyenne, ce qui signifie qu’un grand nombre d’attaques réussies trouvent des solutions à faible prix, particulièrement quand les sauvegardes ne sont pas affectées. 

Toujours concernant les cryptovirus, les coûts additionnés subis par l’ensemble des victimes de moins de 50 employés – entreprises ou associations – en France s’élèvent à un montant supérieur à 700 millions d’euros par an.

Dans cette observation de transfert de richesse, le gain enregistré par les pirates déroge à l’image communément admise. La sortie de capitaux, due conjointement aux cryptovirus et aux fraudes au président – soit plus de 200 millions d’euros -, masque des modèles économiques très différents entre ces formes de criminalité. Les calculs réalisés au sujet des cryptovirus font ressortir un ratio entre l’argent rançonné (sommes versées) et le préjudice total de l’ordre de 1/25 chez les PME/TPE. A contrario, les fraudes au président, malgré leur recours accentué à des acteurs humains et à l’ingénierie sociale, laissent entrevoir des marges finales plus élevées.

L’étude dévoile également la sous-estimation du préjudice humain occasionné par ces attaques (fragilisation des personnes, perte de cohésion de groupe), avec la nécessité d’assister les décideurs pendant cette phase où ils doivent mener des arbitrages en situation de forte incertitude.

Des protections à coût modeste suffiraient dans la majorité des cas 

A contrario, le préjudice sur l’image des entreprises touchées est surestimé, puisqu’il est souvent superficiel et passager, sauf si cela coïncide avec un temps fort de la société (lancement de nouveau produit ou événement-jalon important).

Si les relations entre entreprises partenaires se sont confirmées être l’une des principales failles en cas d’attaque et de leurre, par exemple en matière de rançonnage avec des courriers du type « facture modifiée » ou de fausses adresses bancaires (FOVI), l’observation plus fouillée fait ressortir qu’une partie très importante des coûts d’attaque provient de la déficience d’acteurs de l’écosystème de l’entreprise : prestataire ou éditeur informatique, opérateur télécom, fournisseur de messagerie, électricien, banquier, etc. Il est apparu que ces déficiences ou le manque de réactivité de nombre de ces acteurs alimentent le risque dans des proportions au moins comparables à celles engendrées par les déficiences internes.

Enfin, contrairement à l’image d’une sécurité informatique qui s’obtiendrait par de forts investissements, l’étude souligne que la majorité des préjudices observés aurait pu être évitée ou atténuée par des modes de protection à coût modeste, et par une série de bonnes pratiques accessibles à la plupart des entreprises.