 |
|
|
| |
|
|
|
| Quel coût des attaques informatiques ? |
| Mesurer le retour sur investissement des solutions de sécurité passe par une étude du coût des menaces. Un processus difficile que peu d'entreprises ont mis en place.
(28/07/2005) |
|
Une société perd en moyenne 204 000 dollars par an consécutivement
aux incidents de sécurité informatique survenus lors de son
exercice fiscal, c'est le constat que dresse l'étude de l'institut
en sécurité informatique CSI en partenariat avec le FBI sur
l'année 2004. Ce bilan se montre plus clément qu'en 2003, où
le coût moyen annuel des incidents de sécurité en entreprise
était évalué à 526 000 dollars par entreprise.
Une baisse très significative qui s'explique pour une faible
partie par une baisse du nombre d'incidents constatés. En effet,
entre 2003 et 2004, la part des entreprises ayant subi plus
de 6 incidents en sécurité informatique sur l'année est passée
de 32% à 28%. Des chiffres à l'opposé des créations de virus
par exemple où 2004 a vu l'explosion du nombre de variantes
virales.
Pour
le CSI, la raison de cette baisse du coût des attaques pourrait
s'expliquer par une meilleure considération des entreprises
face aux problèmes du hacking et des virus. Autre explication
possible du phénomène, la dangerosité des attaques serait en
baisse. Mais les chiffres du centre d'études en sécurité informatique CERT contredisent cette baisse du coût des attaques informatiques
et évaluent à 506 670 dollars par an les conséquences financières
des incidents de sécurité en entreprise.
"La limite de ces chiffres vient du fait que les responsables
d'études n'ont aucun moyen de vérifier qu'ils s'adressent aux
bons interlocuteurs d'une part, et que ces intervenants remontent
les bons chiffres d'autre part. Pourtant, le retour sur investissement
en sécurité informatique intéresse de plus en plus les RSSI
qui doivent justifier leurs investissements auprès de leurs
directions", affirme Hervé Schauer, PDG du cabinet de consultants
HSC.
| 62%
des entreprises ne connaissent pas le coût des incidents
de sécurité |
La mesure de la rentabilité des solutions de sécurité s'avère
compliquée car ces solutions n'offrent pas de gain mais protègent
contre une perte éventuelle difficilement chiffrable, le comportement
des futures menaces étant imprévisible. Même concrétisés, les
incidents et leurs conséquences demeurent difficiles à évaluer.
Ainsi lors de l'étude sécurité 2005 du CERT, 62% des personnes
interrogées n'ont pu chiffrer précisément la perte annuelle
engendrée par les incidents de sécurité informatique.
Selon l'étude de la sécurité informatique du Clusif, réalisée
en 2004, seules 20% des entreprises françaises mesurent le retour
sur investissement des solutions de sécurité. Si certaines difficultés
existent dans le calcul, beaucoup d'entreprises ne se posent
toutefois pas le problème. Ainsi, 28% des participants à l'enquête
CSI/FBI ne connaissent pas le nombre d'attaques réussies survenues
en 2004 dans leurs entreprises.
"Les PME/PMI n'ont parfois pas le personnel pour cela. Pourtant,
les grosses PME/PMI atteignent parfois des enjeux où elles doivent
réfléchir à ces aspects. Le coût d'une attaque informatique
dépend fortement du métier de l'entreprise, ainsi un boursier
en ligne ou un cyber-commercant sera particulièrement affecté
par une attaque en déni de service tandis que pour une autre,
le déni de service n'aura que peu de conséquences", souligne
Hervé Schauer.
Les frais réalisés en sécurité sont
eux très bien connus. En 2004, les frais en sécurité
informatique s'élevaient en moyenne à 643 dollars
par employé pour les entreprises de moins de 10 millions
de dollars de chiffre d'affaires. Ce chiffre diminue à
244 dollars par employé et par an dans les grandes entreprises
de plus de 1 milliard de dollars de chiffre d'affaires.
"Le
coût d'une attaque informatique dépend fortement
du métier de l'entreprise"
Hervé
Schauer |
Malgré l'inconnu du coût et de la rentabilité des solutions,
plus de 95% des entreprises utilisent un antivirus et un pare-feu
dans le monde, 72% des solutions de détection d'intrusion réseau
et 70% des contrôles d'accès aux données ou des outils de cryptage.
Une parfaite adéquation avec les principales sources de coûts
identifiées par l'étude CSI/FBI. En effet, virus, accès non
autorisés et vols d'informations confidentielles totalisent
80,6% des pertes relatives à la sécurité informatique constatées
en 2004.
Mais un raisonnement sur le thème de la sécurité uniquement
basé sur la question de la rentabilité occulterait de fait d'autres
menaces, parfois plus critiques. "Pour l'instant, les attaques
restent très ciblées sur tout ce qui peut rapporter de l'argent
comme le vol d'informations et le déni de service. Mais la
fragilité des systèmes d'information au travers de failles
logicielles pourraient permettre d'arrêter complètement un réseau
d'entreprise avec de sacrés difficultés pour le remettre en
route", note Hervé Schauer (HSC Consultants).
L'ouverture du système d'information (portables, smartphones,
WAN) et l'apparition de nouvelles technologies (voix sur IP,
réseaux 3G, réseaux sans fil) ont étendu les périmètres de défense
des entreprises. Elles expliquent en partie le constat de l'étude
CSI/FBI : d'une année sur l'autre, le coût moyen des attaques
par vol d'informations ou écoute du réseau ont respectivement bondi de 168
000 à 355 000 dollars et de 51 000 à 303 000 dollars.
| Le
vol ou l'écoute coûte de plus en plus cher |
"Ceux qui volent dans le TGV ont bien compris que les données
de l'ordinateur sont monnayables, parfois mieux encore que le
matériel lui-même. Aussi surprenant que ça puisse paraître,
la plupart des entreprises ne chiffrent pas les données sur
leurs portables, pourtant les voleurs ne sont pas généralement
des génies en informatique et une simple protection suffirait",
ajoute Hervé Schauer.
L'enjeu pour l'entreprise consiste à ajuster au mieux ses investissements
en sécurité de manière à protéger efficacement les parties critiques
de son système d'informations face à des menaces très nombreuses.
Selon l'étude sécurité 2005 du CERT, 58% des entreprises ont
rencontré un incident de sécurité non critique en 2004 et seulement
12% au moins un incident critique.
"Il n'y a que très peu de gens malveillants sur Internet en
comparaison avec la vraie vie, où le vol est bien plus courant.
Des gens qui pratiquent le chantage au déni de service sont
rares. Parallèlement, énormément de sociétés mettent en place
des solutions où elles ne sont parfois pas nécessaires. Continuer
à faire un plan de reprise d'activité en cas de crue de la Seine
lorsqu'il n'y a plus d'eau potable ni d'électricité équivaut
pour moi à un non-sens", conclut Hervé Schauer.
|
|
|
|
|
|
|
Dossier 
