HP dévoile les résultats de la 5ème enquête annuelle menée en partenariat avec le Ponemon Institute, qui précise l’augmentation des coûts, de la fréquence et des délais de résolution des cyber-attaques.

Menée aux Etats-Unis par le Ponemon Institute sous l’égide d’HP, l’étude 2014 sur le coût du cybercrime réalisée auprès d’un échantillon représentatif d’organisations américaines montre que le coût moyen annuel par entreprise lié au cyber crime s’élève à 12,7 M$, avec une progression de 9,3%, ce qui représente une augmentation de 96% depuis la 1ère étude réalisée il y a 5 ans.

Les entreprise françaises affichent pour leur part un coût de 4.8 M€ en progression de 20.5% en un an. Sur cette période, le temps nécessaire pour résoudre une cyberattaque a augmenté d’environ 33%, et le coût moyen d’une résolution peut aujourd’hui dépasser 1,6 M$.

Pendant la durée de l’étude, d’importantes cyberattaques menées aux Etats-Unis ont porté sur le vol de millions de cartes de paiement, de mots de passe Internet, de propriété intellectuelle et de comptes bancaires en ligne.

Selon l’étude, des outils de sécurité avancée telles que les solutions de Security Information and Event Management (SIEM), les outils de prévention des intrusions (IPS) alimentés par des informations sur la réputation, les systèmes d'analyse réseau et les études analytiques sur les Big Data aident les organisations à détecter et contenir les cyberattaques, et à réduire le coût annuel lié au cybercrime.

« Les hackers n’ont besoin que d’une seule tentative réussie pour accéder à vos données personnelles, alors que les entreprises et les organismes publics doivent réussir chaque jour à arrêter le déluge d'attaques quotidiennes auxquelles elles sont soumises », a déclaré Art Gilliland, Vice-Président Senior et Directeur Général de la division HP Enterprise Security Products.

« Aucun investissement, quel que soit son montant, ne peut protéger complètement les organisations de cyberattaques très sophistiquées. En revanche, l'amélioration de la capacité de votre organisation à perturber vos adversaires potentiels avec des solutions telles que le SIEM, améliorera considérablement le confinement de leurs attaques et réduira leur impact financier global. »

Enseignements principaux de l’étude 2014 sur le coût du cybercrime

• Le coût lié au cybercrime continue d’être très élevé : le coût moyen annuel induit par le cybercrime en France s’élève à 4.8 M€ (au États unis 12.7M$), avec une fourchette allant de 445K€ à 18.9M€, ce qui représente une augmentation de 20.5% par rapport au coût moyen calculé dans l’étude réalisée en 20132.

• Le cybercrime est un phénomène courant et intrusif : les organisations aux états Unis ont constaté une augmentation de 176% du nombre de cyber-attaques, avec une moyenne de 138 attaques réussies par semaine, comparée aux 50 attaques hebdomadaires révélées dans l’étude menée en 20102.

• Le cybercrime est de plus en plus long à résoudre : le délai moyen de résolution d’une cyber-attaque en France est de 43 jours et son coût moyen de 561.553€, soit 200% d’augmentation par rapport à l’année dernière (coût moyen 280.114 €) alors que le délai moyen n’était que de 26 jours.

• Le cybercrime touche tous les secteurs d’activité : les 17 secteurs d’activités ayant participé à l’enquête ont déclaré avoir été victimes d’attaques. Aux Etats-Unis, le coût annuel par organisation le plus élevé a été constaté dans les industries de l’énergie et de la défense.

Sur les 5 dernières années aux Etats-Unis, la croissance la plus forte du coût annuel moyen par entreprise a été constatée dans les secteurs de l’énergie, des technologies et de la distribution. A elle seule, la distribution a vu son chiffre doubler par rapport au coût moyen constaté il y a 5 ans.

Les cyber-attaques les plus coûteuses

• Les cyber-attaques les plus coûteuses sont causées par des dénis de services, des codes malicieux et des malveillances internes. Elles représentent plus de 55% des coûts annuels par organisations.

• Le vol d’informations reste le coût externe le plus important, suivi par les coûts induits par une interruption de services. Sur une base annuelle, le vol d’informations représente 40% des coûts externes (soit 2% de moins que le pourcentage moyen sur les 5 dernières années). Les coûts induits par une interruption de service ou une perte de productivité représentent 38% des coûts externes (soit 7% de plus que le pourcentage moyen sur les 5 dernières années).

• La détection et la correction des cyber-attaques sont les deux activités internes les plus onéreuses, la correction représentant 49% des coûts annuels internes – les coûts salariaux et les sorties de capitaux constituant les postes les plus élevés.

L’utilisation de solutions SIEM fait la différence

Les organisations utilisant des solutions SIEM (Security Intelligence and Event Management) ont été plus efficaces dans la détection et la contention des cyber-attaques. Celles qui ont déployé une solution SIEM ont économisé en moyenne 5,3 millions de dollars par ance qui représente 32% d’amélioration par rapport à l’an dernier.

Les organisations ayant déployé des technologies comme un système de prévention des intrusions (IPS – Intrusion Prevention System) ou un Pare-feu de nouvelle génération (NGFW - Next-Generation Firewall) déclarent obtenir un ROI de 15%.

« L’interruption d’activité, la perte d'informations et le temps nécessaire avant de détecter une faille de sécurité représentent collectivement le coût le plus élevé pour les organisations qui ont subi une attaque », a déclaré le Dr Larry Ponemon, président et fondateur du Ponemon Institute.

« Réalisée à partir de plus de 2 000 interviews, notre étude annuelle sur le coût annuel de la cybercriminalité continue de fournir des indications précieuses sur la hausse des coûts liés aux cyber-attaques. Elle aide les organisations de tous secteurs d’activité à comprendre l'impact financier majeur qui peut résulter si des mesures n’ont pas été prises pour mettre en place des solutions, des processus et de l'expertise afin de minimiser les risques. »

En parallèle à la cinquième étude annuelle portant sur des organisations américaines, le Ponemon Institute a mené des études similaires auprès des organisations situées en Australie, en Allemagne, au Japon, au Royaume-Uni, en France, et pour la première fois en Russie.

Parmi les pays étudiés, le coût total moyen de la cybercriminalité le plus élevé (12,7 millions de dollars) a été atteint sur l'échantillon des entreprises américaines, et le plus bas (3,3 millions de dollars) sur l'échantillon des entreprises russes.
La France se situant avec un coût médian avec 4.8M€ (6.38M$). Les résultats globaux sont disponibles dans un rapport distinct intitulé « Rapport mondial sur le coût de la cybercriminalité en 2014. »

En savoir plus sur les résultats de l’étude

Les résultats de l’étude 2014 Cost of Cyber Crime sont présentés les 8, 9 et 10 octobre via trois webcasts. Les informations d’accès sont disponibles ici pour le webcast nord-américain, ici pour le webcast EMEA et ici pour le webcast Asie-Pacifique.

Des informations complémentaires sur les offres de la division HP Enterprise Security Products sont accessibles sur le site : hpenterprisesecurity.com, celles relatives aux services HP Enterprise Security Services sur : hp.com/enterprise/security.

L’événement majeur d’HP destiné aux clients EMEA, HP Discover, aura lieu à Barcelone, du 2 au 4 décembre.