La mise en place d’une véritable politique de gestion des risques cyber a pour point de départ une évaluation de la gravité du risque et de son impact en termes de coûts pour l’entreprise. Or, cette évaluation des coûts se limite le plus souvent à une estimation « de surface », des seules conséquences directes d’une cyberattaque. Et deux erreurs majeures sont commises : négliger les répercussions sur le moyen terme et ignorer les coûts indirects et les dégâts immatériels.

L’évaluation des coûts se focalise sur les conséquences immédiates de l’attaque

Evaluer le coût d’une cyberattaque revient à envisager ce qui se passerait en cas d’attaque et à en chiffrer le coût.  Les priorités sont claires : faire cesser l’attaque, évaluer l’ampleur des dégâts, faire en sorte de protéger les clients, remettre en route l’activité. Les coûts directs d’une cyberattaque sont visibles, bien connus et mesurables.

Les frais d’études techniques pour comprendre l’attaque et ses impacts

Ces études ont pour objectif de comprendre l’origine, le déroulement et l’impact de l’attaque. Il faut en particulier chercher à identifier quelles informations ont été divulguées, compromises, afin de pouvoir mettre en place un plan d’action adéquat. Ces analyses peuvent être plus ou moins complexes et coûteuses selon la complexité du système touché et l’ampleur des dégâts.

Les frais engagés pour informer et conseiller les clients de la violation de données

Dès qu’une violation de données clients est constatée, l’entreprise touchée a obligation d’informer ses clients. Il peut s’agir de frais de courrier et/ou de phoning engagés pour ces actions d’information. L’entreprise est également amenée à conseiller les clients dans les actions nécessaires pour se protéger contre l’utilisation frauduleuse des données divulguées.

Mise en conformité réglementaire

Une entreprise cible d’une cyberattaque peut être soumise à des amendes du fait du renforcement du droit de la protection des données. Celui-ci impose des exigences très élevées en cas de violation des données. La Commission Nationale de l’Informatique et des Libertés (CNIL) peut donc appliquer des sanctions en cas de négligence dans la sécurisation de son système d’information.

Relations publiques

Suite à un cyberincident, une entreprise réputée se verra dans l’obligation de mettre en place des actions de communication externe et/ou de veille sur sa propre marque.

Honoraires d’avocat et frais de justice

Pour défendre ses intérêts, l’entreprise victime d’une cyberattaque devra peut-être s’adjoindre les services d’un cabinet d’avocats afin d’entreprendre des actions en justice. Les frais seront plus ou moins conséquents car dépendant fortement de la nature et de la gravité de l’incident.

Amélioration des dispositifs de cybersécurité

Il est évident qu’une entreprise attaquée mettra en place rapidement des process d’amélioration des dispositifs de cybersécurité. L’entreprise aura donc de nouvelles dépenses directes (qu’elle aurait dû faire en amont sous la forme d’investissements !) : améliorations techniques de l’infrastructure, contrôles de sécurité, capacités de surveillance, et l’ensemble des opérations mises en place pour empêcher la réitération d’un événement similaire.

Si ces coûts, liés à la gestion de l’attaque sont faciles à anticiper, ils ne reflètent en réalité qu’en partie l’impact économique sur l’entreprise. L’étude « cyberattaques : comment chiffrer les impacts* », menée par Deloitte, a mis en évidence deux écueils principaux dans l’évaluation des coûts des cyberattaques : la sous-estimation des répercussions dans le temps et les impacts indirects et immatériels.

 

Les répercussions sur le moyen et long terme sont mal prises en compte

La première erreur est de négliger les conséquences sur le moyen et long terme de la cyberattaque. L’étude de Deloitte révèle que leur montant dépasse pourtant largement les coûts financiers associés au temps d’arrêt et de production.

Dans cette étude, 3 temps sont distingués pour mieux en évaluer les impacts et les coûts.

Détection de l’incident et réponse immédiate : 10% du coût total

La gestion immédiate des premiers dommages représente moins de 10% des dommages totaux. Ce sont les premières actions qui suivent l’attaque, les premiers jours voire semaines où l’entreprise se concentre sur :

• la déconnexion des appareils infectés,
• l’application des correctifs de sécurité,
• l’information auprès des clients,
• le traitement des problèmes d’interruption et de continuité des activités.

Mais ce n’est finalement que le début d’un long processus… car la réparation des dommages subis par l’entreprise impactée peut se dérouler sur plusieurs années.

Le coût des impacts liés à la cyberattaque

Des semaines et des mois ont passé… et de nouvelles actions se mettent en place au sein de l’entreprise attaquée. Il s’agit alors de mettre en place :

• des infrastructures et activités temporaires,
• de préparer des procédures juridiques,
• gérer la relation avec les clients, les partenaires

Les années suivantes : rétablir durablement l’activité

Les conséquences sont parfois longues et peuvent être dévastatrices pour certaines entreprises… plusieurs années après l’attaque. Certaines d’entre elles doivent encore réparer les dégâts causés par la cyberintrusion, refondre les processus et les actifs et investir dans les programmes de cybersécurité. C’est là que certaines entreprises se retrouvent durablement affaiblies, certaines sont même conduites à la fermeture.

 

Les dégâts “immatériels” d’une cyberattaque sont souvent négligés

Le deuxième écueil de l’évaluation des coûts d’une cyberattaque : ignorer tout simplement les dégâts immatériels. Ces impacts sont plus difficiles à appréhender et sont souvent mal maîtrisés par les experts en cybersécurité. Pourtant, ils existent bel et bien et impactent tôt ou tard les résultats financiers de l’entreprise.

L’érosion de chiffre d’affaires et la perte de la confiance accordée par les clients

Quelles seront les réactions des clients ayant subi une violation ? Combien de clients devenus méfiants décideront de quitter l’entreprise immédiatement ? combien auront perdu confiance et se tourneront vers la concurrence ?  Nul doute qu’une cyber attaque  laisse des traces sur la confiance des clients et se traduit tot ou tard sur les performances commerciales : résiliations, non renouvellement des contrats, perte de clients à la concurrence.

Dépréciation de la valeur de marque

L’impact sur la marque est difficile à valoriser… Mais faisons une hypothèse pour gagner en clarté : quelles seraient les conséquences, si l’entreprise devait être cédée ? Il devient alors très clair qu’une entreprise impactée par une cyberattaque verrait la réputation de sa  marque entachée et sa valeur dépréciée.

Perte de propriété intellectuelle

Une entreprise attaquée peut éventuellement perdre le contrôle sur des informations exclusives et confidentielles. Citons par exemple, les droits d’auteur, les brevets, les dessins, les marques, les plans d’investissement, stratégiques, commerciaux, etc. Cette perte de contrôle peut engendrer une perte de revenus et des dommages économiques plus ou moins conséquents pour l’entreprise.

Augmentation des primes d’assurance

Pour une entreprise ayant souscrit à une police d’assurance cyber, les primes d’assurance seront bien sûr réévaluées au moment du renouvellement. L’assureur exigera également la mise en place de dispositifs de sécurité à même de réduire les risques d’incident.

Augmentation du coût de la dette

Une entreprise qui souhaiterait par exemple renouveler ses lignes de crédit se verrait appliquer une prime de risque par l’établissement prêteur, qui verrait un risque accru. De nombreuses études ont d’ailleurs montré que les entreprises touchées par une attaque connaissait des difficultés conduisant à la cessation d’activité.

En pratique, ces dégâts immatériels ne peuvent pas être appréciés par les acteurs opérationnels de l’entreprise. En revanche, ils relèvent davantage de la responsabilité de Direction Générale, qui saura voir le risque potentiel pour l’entreprise, et allouer les ressources nécessaires pour la mise en place d’une stratégie adéquate.

Pour une entreprise souhaitant mettre en place une stratégie de gestion des risques en matière de cybersécurité, l’évaluation des conséquences est indispensable pour apprécier les risques et allouer les moyens nécessaires. Un point de départ est bien sûr d’évaluer précisément l’exposition de l’entreprise aux risques et l’état de ses systèmes de protection via un audit de vulnérabilité.

 

* Etude Deloitte – “Cyberattaques : comment chiffrer les impacts ?”

Retrouvez l’intégralité de cette étude