L’étude du cabinet d’audit et de conseil PwC sur la sécurité de l’information, réalisée en coordination avec les magazines CIO et CSO, révèle que le nombre d'incidents déclarés a augmenté de 48 % à travers le monde en 2014, pour atteindre un nombre total de 42,8 millions, soit l'équivalent de 117 339 attaques par jour. Depuis 2009, les incidents détectés ont progressé de 66 % en moyenne par an.

Globalement, le coût annuel moyen attribué aux incidents de cybersécurité atteint 2,7 millions de dollars en 2014, soit une augmentation de 34 % par rapport à 2013. Les grosses pertes financières ont été plus fréquentes cette année puisque les pertes de 20 millions de dollars ou plus ont quasiment doublé pour les entreprises (+ 92 % par rapport à 2013).

Pourtant, c’est la première fois depuis 2010 que le budget moyen alloué à la sécurité de l'information baisse, pour tomber à 4,1 millions de dollars, soit 4% de moins qu’en 2013.

« Il n'est pas surprenant que la cybersécurité et son impact financier continuent d'augmenter année après année», déclare Philippe Trouchaud, associé spécialiste de la cybersécurité chez PwC. « Ce n’est pas étonnant quand on voit que les entreprises sous-estiment encore de nombreuses menaces, comme par exemple celles provenant de leurs collaborateurs ou des Etats. »

L’Europe et les grandes entreprises particulièrement menacées

L’étude de PwC démontre que c’est en Europe que les incidents de cybersécurité augmentent le plus fortement, avec une hausse de 41 % des incidents détectés en 2014. En Amérique du Nord, l’augmentation atteint 11 % et 5 % pour la région Asie-Pacifique.

Les grandes entreprises - dont les revenus annuels brut sont de 1 milliard de dollars ou plus – ont observé une hausse de 44 % de ces incidents en 2014. Les organisations de taille moyenne – avec des revenus entre 100 millions à 1 milliard de dollars - ont vu le nombre d’incidents augmenter de 64 %.

« Les grandes entreprises demeurent les cibles les plus fréquentes car elles disposent des infos les plus utiles et les plus rémunératrices pour les auteurs de cyber-attaques. En parallèle, elles détectent plus d’incidents car elles disposent des moyens de détection et de prévention les plus efficaces. En revanche, les entreprises plus petites ne sont pas armées de la même façon », commente Philippe Trouchaud.

Cependant, les budgets mondiaux dédiés à la sécurité de l'information restent faibles et diminuent en 2014

L’étude de PwC révèle que les budgets de cybersécurité sont en baisse en 2014, pour la première fois depuis 2010, avec un budget moyen de 4,1 millions de dollars, soit 4% de moins par rapport à 2013.

« Les budgets de cybersécurité sont en recul, en particulier dans les secteurs de l’aéronautique et de la défense (-25 %), des technologies (-21%), de l’automobile (-16 %) et de la distribution et des biens de consommation (-15 %) », explique Philippe Trouchaud.

Les collaborateurs sont les premiers responsables des incidents de sécurité

Les incidents provoqués par les collaborateurs actuels de l’entreprise ont augmenté de 10 % en 2014 par rapport à 2013, et représentent 35% des incidents de sécurité déclarés. Il faut noter que souvent les salariés compromettent involontairement les données de leur entreprise, en perdant leurs appareils mobiles ou en étant la cible de phishing.

Les incidents de cybersécurité attribués aux actuels et anciens fournisseurs et consultants extérieurs ont progressé respectivement de 15 et 17 %.

« La nouveauté cette année, c’est la hausse des cyber-attaques provenant des Etats et des concurrents », souligne Philippe Trouchaud.  Ainsi, les cyber-attaques menées par un État ont augmenté de 86 %, en particulier sur les secteurs de l’énergie et de l’aéronautique & défense. Les cyber-attaques attribuées à des concurrents, dont certains peuvent être soutenus par des Etats, sont en hausse de l’ordre de 64 %.

Adopter le management du risque : plus d’agilité et de réactivité pour les entreprises face à des menaces en perpétuelle mutation

Une sensibilisation efficace aux enjeux de la cybersécurité exige un engagement de la direction, ce qui d’après l’étude fait souvent défaut. En effet, à peine un répondant sur deux explique disposer, au sein de son entreprise, d'une équipe dédiée à ces questions, qui se réunie régulièrement pour discuter, coordonner et communiquer la stratégie face à ces enjeux.

L’étude de PwC souligne qu’il est crucial que les entreprises établissent des politiques et procédures de prévention et de réaction qui soient adaptables à toutes les parties prenantes de l'entreprise.

« Les entreprises doivent passer d’une approche de la sécurité de l’information basée sur la prévention et le contrôle à une philosophie fondée sur le risque, pour privilégier leurs actifs les plus précieux face aux menaces les plus dangereuses. Evaluer les risques permet de les rendre assurables et ainsi d’améliorer les pratiques vertueuses » conclut Philippe Trouchaud.