Les cyberattaques ne provoquent pas que des dégâts opérationnels sur les systèmes informatiques : lorsqu'elles surviennent c'est tout ou partie de l'activité de l'entreprise qui est atteinte avec à la clé un manque à gagner et des pertes financières parfois conséquentes. Dans sa dernière étude IT security economics 2021, Kaspersky s'est penché sur la question du coût des brèches de données et des cyberattaques pour les entreprises, plus spécifiquement les plus petites. Plus de 4 300 personnes ont été interrogées dans PME et moyennes entreprises (de 50 à 999 employés) et plus grandes entreprises (+1000 employés) dans 31 pays entre mai et juin dernier.

« Cette année, les risques de cybersécurité ont continué d'être une grande préoccupation pour les entreprises et petites entreprises, avec de nouvelles menaces émergentes pendant la pandémie et l'extension période de travail à distance qu'elle a instaurée », explique Kaspersky en introduction de son rapport. Alors qu'il avait reculé en 2020, le coût financier moyen des vols de données pour les PME/moyennes entreprises est ainsi remonté à 105 000 dollars cette année contre 101 000 l'année précédente. Pour autant, les niveaux de 2019 (108 000 dollars) et surtout de 2018 (120 000 dollars) ne sont pas atteints.

2 M$ d'impact financier pour les attaques par supply chain dans les plus grandes entreprises

A l'inverse, pour les plus grandes entreprises, ce coût ne cesse de chuter depuis 2019 (1,41 M$) pour atteindre cette année 927 000 $ son niveau le plus faible depuis 2017. « L'une des principales raisons pour lesquelles nous assistons peut-être à cette baisse des l'impact d'une violation de données dans les entreprises pourrait être dû à des améliorations pour détecter les attaques, minimisant ainsi l'impact d'un incident », souligne l'éditeur. « Cependant, notre recherche a également révélé que les entreprises étaient moins susceptibles de signaler des violations de données cette année, 34% réussissant à éviter de le faire, contre seulement 28 % en 2020 ».

S'agissant des brèches de données, en 2021, les incidents affectant un fournisseur tiers avec qui des données sont partagées ont atteint 1,4 million de dollars en moyenne pour les plus grandes entreprises. Il s'agit du montant le plus important, devant les attaques par cryptominage (1,3 M$) par exemple. Concernant les PME-PMI, ce sont les attaques sur des systèmes de point de vente qui ont eu en moyenne le coût le plus élevé pour l'entreprise (139 000 $). Tout incident de cybersécurité confondu (plus seulement les vols de données), les attaques par supply chain sont les plus coûteuses en moyenne pour les plus grandes entreprises (2 M$), alors que pour les PME-PMI ce sont celles affectant un fournisseur tiers avec qui des données sont partagées (212 000 $). Tous tailles d'entreprises confondues, les attaques par supply chain et affectant des données partagées sont dans le trio de tête des incidents les plus coûteux.

Tendance baissière pour le budget cybersécurité

Compte-tenu d'un contexte de hausse croissante des cybermenaces, on aurait pu penser que cette situation joue en faveur des budgets alloués à la sécurité informatique. Ce n'est pas le cas. Pire encore : en 2021 l'étude de Kaspersky montre que les budgets IT moyens sont en baisse aussi bien pour les PME-PMI (1 M$ versus 1,1 M$ en 2020) que les plus grandes entreprises (42,9 M$ versus 54,3 M$). Le budget cybersécurité suit également cette tendance baissière, aussi bien chez les plus grands groupes (11,4 M$ contre 14 M$) que les plus petits (267 000 $ contre 275 000$). Dans l'ensemble, la part du budget IT consacré à la cybersécurité est passé de 29% à 28% chez les grands groupes et a stagné chez les PME-moyennes entreprises (26%).

« Bien que cette diminution des budgets informatiques soit temporaire, de nombreuses entreprises sont passés par un difficile modèle de réduction des coûts en 2021 », indique Kaspersky. Parmi les facteurs mis en avant : le manque de raison pour le top management d'investir autant dans la cybersécurité (30%), se sentir assez équipé en solutions de sécurité (28%), nécessité de réallouer le budget IT à d'autres besoins de l'entreprise (28%) ou encore externalisation de certaines fonctions en sécurité informatique permettant de réduire les coûts (25%). « Je ne doute pas que les budgets se redresseront et augmenteront même, mais cela se produira dans un nouvel environnement de systèmes IT et davantage de recours au modèle as a service et cloud », fait savoir Veniamin Levtsov, vice présidente du centre d'expertise pour Entreprise chez Kaspersky.