Les grandes sociétés américaines perdent l'équivalent de 2,2% de leur chiffre d'affaires annuel, soit plus de 30 millions de dollars par entreprise, en raison d'attaques de sécurité qu'elles subissent, selon le cabinet d'études Infonetics Research.
Du côté des petites et moyennes entreprises, les analystes du cabinet ont estimé que le pourcentage du chiffre d'affaires annuel perdu équivaut à un demi point, ce qui peut se chiffrer pour chacune d'elles en centaines de milliers de dollars.
Rappelons les résultats d'une autre étude, conduite par le Computer Security Institute (CSI), qui chiffrait en juillet 2006 la perte moyenne due aux incidents de sécurité à
167 713 dollars par entreprise. Globalement, l'estimation du coût des incidents de sécurité informatique auraient coûté en 2006 plus de 52 millions de dollars.
Les contaminations par virus ont ainsi coûté, toujours selon le CSI, 15,7 millions de dollars en 2006, juste devant les accès non autorisés (10,6 millions) et les vols d'ordinateurs portables et de mobiles (6,5 millions). Le piratage de propriété intellectuelle a quant à lui représenté une charge de 6 millions de dollars.
L'étude "Costs of Network Security Attacks : North America 2007" d'Infonetics Research montre de son côté que la moitié des coûts liés à ces attaques provient directement de la dégradation du service offert par les sociétés touchées, quelle que soit leur taille.
La majorité des dégradations ne sont la plupart du temps pas véritablement détectées comme telles |
Sachant que le temps passé - mais non mesuré - à réparer les dégats de ces attaques constitue une grande partie de ces coûts, la majorité des dégradations n'étant la plupart du temps pas véritablement détectées comme telles.
"Si les petites et moyennes entreprises avaient les bons outils, étaient convenablement pourvues en personnel et disposaient des bons processus pour tracer les indisponibilités de leur service, le pourcentage de leur chiffre d'affaires que les attaques représentent serait significativement plus élevé que celui que notre étude avance", a déclaré Jeff Wilson, analyste principal chez Infonetics, dans un communiqué.
Qui plus est, l'étude montre que les PME sont en majorité victimes de codes malveillants tandis que les grandes organisations sont le plus souvent la cible d'attaques en déni de service distribué (DDoS / Distributed denial-of-service) ou de codes malveillants affectant les serveurs. Quant aux TPE, elles sont touchées sans distinction par les trois types d'attaques.
En septembre 2006, l'association américaine AARP (American Association of Retired Persons) établissait que plus de 90 millions de données sensibles avaient été dérobées aux Etats-Unis en l'espace de 16 mois. Pour 50%, ces vols étaient le fait de pirates. Cinq scénarios étaient recensés : le piratage ou attaque externe grâce à un accès non autorisé, les vols de matériel (portables, disques durs, etc.), les divulgations involontaires de données (la publication accidentelle sur un site Internet par exemple ), les accès internes malintentionnés et enfin les pertes de supports de sauvegarde.
|