Auteur/autrice : BuiltinAdm

La mise en place d’une véritable politique de gestion des risques cyber a pour point de départ une évaluation de la gravité du risque et de son impact en termes de coûts pour l’entreprise. Or, cette évaluation des coûts se limite le plus souvent à une estimation « de surface », des seules conséquences directes d’une cyberattaque. Et deux erreurs majeures sont commises : négliger les répercussions sur le moyen terme et ignorer les coûts indirects et les dégâts immatériels.

L’évaluation des coûts se focalise sur les conséquences immédiates de l’attaque

Evaluer le coût d’une cyberattaque revient à envisager ce qui se passerait en cas d’attaque et à en chiffrer le coût.  Les priorités sont claires : faire cesser l’attaque, évaluer l’ampleur des dégâts, faire en sorte de protéger les clients, remettre en route l’activité. Les coûts directs d’une cyberattaque sont visibles, bien connus et mesurables.

Les frais d’études techniques pour comprendre l’attaque et ses impacts

Ces études ont pour objectif de comprendre l’origine, le déroulement et l’impact de l’attaque. Il faut en particulier chercher à identifier quelles informations ont été divulguées, compromises, afin de pouvoir mettre en place un plan d’action adéquat. Ces analyses peuvent être plus ou moins complexes et coûteuses selon la complexité du système touché et l’ampleur des dégâts.

Les frais engagés pour informer et conseiller les clients de la violation de données

Dès qu’une violation de données clients est constatée, l’entreprise touchée a obligation d’informer ses clients. Il peut s’agir de frais de courrier et/ou de phoning engagés pour ces actions d’information. L’entreprise est également amenée à conseiller les clients dans les actions nécessaires pour se protéger contre l’utilisation frauduleuse des données divulguées.

Mise en conformité réglementaire

Une entreprise cible d’une cyberattaque peut être soumise à des amendes du fait du renforcement du droit de la protection des données. Celui-ci impose des exigences très élevées en cas de violation des données. La Commission Nationale de l’Informatique et des Libertés (CNIL) peut donc appliquer des sanctions en cas de négligence dans la sécurisation de son système d’information.

Relations publiques

Suite à un cyberincident, une entreprise réputée se verra dans l’obligation de mettre en place des actions de communication externe et/ou de veille sur sa propre marque.

Honoraires d’avocat et frais de justice

Pour défendre ses intérêts, l’entreprise victime d’une cyberattaque devra peut-être s’adjoindre les services d’un cabinet d’avocats afin d’entreprendre des actions en justice. Les frais seront plus ou moins conséquents car dépendant fortement de la nature et de la gravité de l’incident.

Amélioration des dispositifs de cybersécurité

Il est évident qu’une entreprise attaquée mettra en place rapidement des process d’amélioration des dispositifs de cybersécurité. L’entreprise aura donc de nouvelles dépenses directes (qu’elle aurait dû faire en amont sous la forme d’investissements !) : améliorations techniques de l’infrastructure, contrôles de sécurité, capacités de surveillance, et l’ensemble des opérations mises en place pour empêcher la réitération d’un événement similaire.

Si ces coûts, liés à la gestion de l’attaque sont faciles à anticiper, ils ne reflètent en réalité qu’en partie l’impact économique sur l’entreprise. L’étude « cyberattaques : comment chiffrer les impacts* », menée par Deloitte, a mis en évidence deux écueils principaux dans l’évaluation des coûts des cyberattaques : la sous-estimation des répercussions dans le temps et les impacts indirects et immatériels.

 

Les répercussions sur le moyen et long terme sont mal prises en compte

La première erreur est de négliger les conséquences sur le moyen et long terme de la cyberattaque. L’étude de Deloitte révèle que leur montant dépasse pourtant largement les coûts financiers associés au temps d’arrêt et de production.

Dans cette étude, 3 temps sont distingués pour mieux en évaluer les impacts et les coûts.

Détection de l’incident et réponse immédiate : 10% du coût total

La gestion immédiate des premiers dommages représente moins de 10% des dommages totaux. Ce sont les premières actions qui suivent l’attaque, les premiers jours voire semaines où l’entreprise se concentre sur :

• la déconnexion des appareils infectés,
• l’application des correctifs de sécurité,
• l’information auprès des clients,
• le traitement des problèmes d’interruption et de continuité des activités.

Mais ce n’est finalement que le début d’un long processus… car la réparation des dommages subis par l’entreprise impactée peut se dérouler sur plusieurs années.

Le coût des impacts liés à la cyberattaque

Des semaines et des mois ont passé… et de nouvelles actions se mettent en place au sein de l’entreprise attaquée. Il s’agit alors de mettre en place :

• des infrastructures et activités temporaires,
• de préparer des procédures juridiques,
• gérer la relation avec les clients, les partenaires

Les années suivantes : rétablir durablement l’activité

Les conséquences sont parfois longues et peuvent être dévastatrices pour certaines entreprises… plusieurs années après l’attaque. Certaines d’entre elles doivent encore réparer les dégâts causés par la cyberintrusion, refondre les processus et les actifs et investir dans les programmes de cybersécurité. C’est là que certaines entreprises se retrouvent durablement affaiblies, certaines sont même conduites à la fermeture.

 

Les dégâts “immatériels” d’une cyberattaque sont souvent négligés

Le deuxième écueil de l’évaluation des coûts d’une cyberattaque : ignorer tout simplement les dégâts immatériels. Ces impacts sont plus difficiles à appréhender et sont souvent mal maîtrisés par les experts en cybersécurité. Pourtant, ils existent bel et bien et impactent tôt ou tard les résultats financiers de l’entreprise.

L’érosion de chiffre d’affaires et la perte de la confiance accordée par les clients

Quelles seront les réactions des clients ayant subi une violation ? Combien de clients devenus méfiants décideront de quitter l’entreprise immédiatement ? combien auront perdu confiance et se tourneront vers la concurrence ?  Nul doute qu’une cyber attaque  laisse des traces sur la confiance des clients et se traduit tot ou tard sur les performances commerciales : résiliations, non renouvellement des contrats, perte de clients à la concurrence.

Dépréciation de la valeur de marque

L’impact sur la marque est difficile à valoriser… Mais faisons une hypothèse pour gagner en clarté : quelles seraient les conséquences, si l’entreprise devait être cédée ? Il devient alors très clair qu’une entreprise impactée par une cyberattaque verrait la réputation de sa  marque entachée et sa valeur dépréciée.

Perte de propriété intellectuelle

Une entreprise attaquée peut éventuellement perdre le contrôle sur des informations exclusives et confidentielles. Citons par exemple, les droits d’auteur, les brevets, les dessins, les marques, les plans d’investissement, stratégiques, commerciaux, etc. Cette perte de contrôle peut engendrer une perte de revenus et des dommages économiques plus ou moins conséquents pour l’entreprise.

Augmentation des primes d’assurance

Pour une entreprise ayant souscrit à une police d’assurance cyber, les primes d’assurance seront bien sûr réévaluées au moment du renouvellement. L’assureur exigera également la mise en place de dispositifs de sécurité à même de réduire les risques d’incident.

Augmentation du coût de la dette

Une entreprise qui souhaiterait par exemple renouveler ses lignes de crédit se verrait appliquer une prime de risque par l’établissement prêteur, qui verrait un risque accru. De nombreuses études ont d’ailleurs montré que les entreprises touchées par une attaque connaissait des difficultés conduisant à la cessation d’activité.

En pratique, ces dégâts immatériels ne peuvent pas être appréciés par les acteurs opérationnels de l’entreprise. En revanche, ils relèvent davantage de la responsabilité de Direction Générale, qui saura voir le risque potentiel pour l’entreprise, et allouer les ressources nécessaires pour la mise en place d’une stratégie adéquate.

Pour une entreprise souhaitant mettre en place une stratégie de gestion des risques en matière de cybersécurité, l’évaluation des conséquences est indispensable pour apprécier les risques et allouer les moyens nécessaires. Un point de départ est bien sûr d’évaluer précisément l’exposition de l’entreprise aux risques et l’état de ses systèmes de protection via un audit de vulnérabilité.

 

* Etude Deloitte – “Cyberattaques : comment chiffrer les impacts ?”

Retrouvez l’intégralité de cette étude

En janvier 2021, Value IT, revendeur des solutions Veeam, renforce son partenariat avec l’éditeur et obtient la certification ProPartner SILVER. Cette certification Silver est accordée en reconnaissance des formations régulières suivies par nos techniciens et ingénieurs. Elle récompense également notre expertise technique et notre maîtrise des installations et maintenance de solutions de sauvegarde.

Certifiées Silver PropPartner, les équipes Value IT disposent ainsi d’un contact privilégié avec le support technique de Veeam et peuvent dès lors accompagner leurs clients dans leurs projets de mise en place de gestion de données dans le Cloud.

 

La certification ProPartner Silver Veeam au service de nos clients

Ainsi certifiée Silver, Value IT s’adapte aux environnements changeants de ses clients, leur assure des déploiements plus complexes et leur offre davantage de services.

Afin de se tenir informés des dernières nouveautés en matière de sauvegarde de données, les équipes Value IT participent à des sessions de formations assurées par l’éditeur Veeam. La garantie pour nos clients de collaborer avec des professionnels maîtrisant parfaitement les solutions Veeam.

Pourquoi contacter Value IT, revendeur Veeam à Saint-Etienne ?

En tant que partenaire Veeam, Value IT sera à même de vous conseiller sur vos projets Veeam. Nous pouvons vous accompagner pour

• Le renouvellement de vos licences
• Le choix de solutions adaptées à vos besoins
• L’installation des solutions dans votre entreprise

Nos équipes pourront également étendre votre sauvegarde au Cloud si toutefois votre environnement venait à évoluer.

Value IT, partenaire Veeam, interviendra pour tous vos projets liés à la protection de votre infrastructure, à la modernisation de votre sauvegarde, au renforcement de la sécurité des données ou bien encore à la protection des données de vos collaborateurs travaillant à distance.

 

Veeam, un acteur incontournable dans la sauvegarde et la restauration de données

Veeam, éditeur reconnu dans l’environnement IT en France et dans le monde, offre plusieurs solutions de sauvegarde, de reprise d’activité et d’administration des environnements virtualisés : Veeam Back Up & Replication, Veeam Availability Suite ou bien la Veeam Backup Essentials.

Via la Veeam Cloud Data Management Platform, la gestion des données clients évolue et se modernise. Les données deviennent plus intelligentes, autonomes et disponibles dans l’ensemble des applications et des infrastructures cloud.

Dans un contexte de transformation numérique, les solutions Veeam Software assurent à nos clients, quel que soit leur secteur d’activité, une hyper-disponibilité, une sauvegarde et une protection de leurs données stratégiques et ce, dans l’objectif de gagner en agilité et d’accélérer leur activité.