Le dilemme cyber : nous n’avons aucune idée du coût des attaques

On ne connaît pas le coût des cyberattaques

Au Forum international de la cybersécurité (FIC), début septembre à Lille, tout le monde était d’accord pour affirmer qu’il est crucial d’investir dans sa protection. Pour une entreprise, cela a un prix. Or personne n’est pour l’instant capable de chiffrer ce que coûte le risque d’une sécurité trop faible.

Par Romain Mielcarek

Publié le 9/23/2021

"Nous n’avons aucun ordre de grandeur, concède Cédric O, le secrétaire d’Etat chargé de la Transition numérique et des Communications électroniques. On parle souvent de milliards. Comme nous avons trop peu de PME et de TPE qui portent plainte lorsqu’elles sont attaquées, nous avons du mal à chiffrer. Trop d’entreprises se contentent de payer alors que nous avons aujourd’hui d’importants moyens de cyber-gendarmerie."

Pour justifier l’investissement dans la sécurité, il faudrait pourtant avoir une idée du coût de l’insécurité. Les acteurs du secteur donnent des exemples tout en restant discrets sur l’identité des victimes. En haut du spectre, Cédric O cite l’un des cas les plus impressionnants et les plus médiatisés : celui du leader mondial du transport maritime Maersk, presque coulé à l’été 2017 par un virus d’origine russe, avec une perte d’au moins 270 millions d’euros. Le géant danois a dû réinstaller totalement 45 000 ordinateurs, 4 000 serveurs et 2 500 applications logicielles.

Les plus petites entreprises, dans des domaines moins exposés aux affres de la géopolitique, se disent souvent qu’elles sont à l’abri. Alors que tout le monde peut aujourd’hui être pris pour cible.

Le juste niveau de sécurité

Aujourd’hui, tous les spécialistes estiment que la cybersécurité est l’affaire de tous : gouvernement, populations… et entreprises. Mais quel niveau de sécurité consentir sachant que les mêmes experts confirment qu’il est impossible d’être complètement protégé ?

"La première chose à faire, c’est de cartographier pour avoir une visibilité de ses actifs, conseille Edem Nyawouame, ingénieur commercial chez Claroty, éditeur de logiciels de protection. Cette visibilité est importante pour savoir ce que l’on peut mettre en place plus tard." "Ce que l’on ne voit pas, on ne peut pas le sécuriser, confirme Badr Laasri, son concurrent de chez Tenable. L’inventaire est l’étape la plus importante pour débuter : d’autant plus qu’une même machine a souvent plusieurs cartes mères."

"Une PME d’une dizaine de personnes, ce n’est évidemment pas sa priorité, concède Jérôme Notin, le directeur général de la plateforme cybermalveillance.gouv.fr. Mais à partir d’une certaine taille, avoir un directeur de systèmes d’information est un minimum. Il ne faut pas voir cela comme un coût mais comme un avantage concurrentiel : aujourd’hui, celui qui se démarque sur le marché, c’est celui qui sait rassurer son client." Même pour une toute petite société, il est recommandé de désigner un référent cyber qui doit veiller aux premières mesures d’hygiène numérique.

Coût d’image

Une entreprise touchée craint souvent que sa fragilité ne lui coûte des contrats. Les pirates utilisent le chantage à l’image : ils volent des données puis menacent de les divulguer aux clients pour ruiner l’activité de la victime. Ce sentiment de honte et de fragilité contribue à dissuader les cibles de cybermalveillance de se tourner vers la justice. De mauvais réflexes que certains secteurs tentent de déconstruire, dont l’aéronautique qui est souvent cité comme exemple à suivre en la matière.