Les conséquences d’une cyberattaque
Cyberattaque : quelles conséquences pour une entreprise ?
Les risques de cyberattaque sont de plus en plus palpables pour les entreprises, quelle que soit leur taille. Les manques de règles numériques, de dispositifs de sécurité cohérents et de personnel dédié à la cyber-protection multiplient les risques de cyberattaque. Pour mieux comprendre ce qu’une entreprise risque avec une cyberattaque, mieux vaut connaître les impacts potentiels. Alors, quelles sont les conséquences d’une cyberattaque pour une entreprise ?
Quel est le coût d’une cyberattaque ?
Le risque d’une cyberattaque représente surtout un péril financier. En effet, ces attaques peuvent faire subir d’énormes préjudices pécuniaires à une entreprise. Selon l’étude annuelle de l’assureur Hiscox sur les risques de cyberattaques, le coût médian d’une attaque en France s’élève à 15 300 € en 2021. Le chiffre est en augmentation de 29 % par rapport à l’année 2020. Plusieurs facteurs expliquent ce montant relativement élevé.
Les points d’impact financiers d’une cyberattaque pour une entreprise
Les experts du Cabinet Deloitte ont tenté de mesurer le coût réel d’une cyberattaque. Ils sont parvenus à dégager 14 impacts financiers d’une cyberattaque, divisés en deux parties. D’un côté, la zone émergée de l’iceberg, qui se compose des coûts directs. De l’autre, la zone immergée, moins quantifiable et peu connue du public.
Les coûts relatifs à la « zone émergée » touchent :
- les enquêtes techniques ;
- la notification aux clients de l’intrusion
- la mise en conformité réglementaire ;
- les honoraires d’avocat, de frais de justice ;
- la sécurisation des données client post-incident ;
- les relations publiques ;
- la mise à jour et l’amélioration des dispositifs de sécurité.
Les coûts de la « zone immergée », moins visibles, mais plus durables, incluent :
- l’augmentation des primes d’assurance ;
- l’augmentation du coût de la dette ;
- les conséquences de la perturbation ou l’interruption des activités ;
- la baisse du chiffre d’affaires liée à la perte de contrats client ;
- la dépréciation de la valeur de marque de l’entreprise ;
- la perte de propriété intellectuelle ;
- la perte de confiance des clients.
Le ransomware, arnaque la plus juteuse pour les fraudeurs
Le rapport Hiscox insiste sur les attaques par ransomware. Selon l’étude, 19 % des entreprises françaises ont subi une demande de rançon en 2021 (+5 points par rapport à 2020). Deux tiers d’entre elles ont choisi de régler les malfaiteurs (62 %), par peur de perdre définitivement leurs données informatiques.
Cette méthode, qui semble sûre aux yeux des entreprises, se révèle au contraire vicieuse. Non seulement les fraudeurs ne délivrent pas toujours les données en échange, mais ils se sentent confortés dans leur démarche. Résultat : l’entreprise risque de subir une seconde cyberattaque avec une augmentation vertigineuse du montant de la rançon. Aujourd’hui, les tarifs d’une rançon peuvent atteindre des millions d’euros pour les grandes entreprises.
Conséquences financières d’une cyberattaque : les pertes financières liées à l’activité de l’entreprise
Les coûts les plus importants reviennent aux pertes liées à l’activité de l’entreprise. En effet, se remettre d’une cyberattaque demande du temps, qu’il s’agisse d’un ransomware, d’un vol de données ou d’une attaque par déni de service distribué (DDoS).
Une cyberattaque endommage les données, mais cause aussi — dans le pire des cas — un arrêt forcé de tous les projets de l’entreprise. Plus l’attaque s’étire dans le temps, plus la perte d’argent grimpe. Ces dernières années, les pertes de chiffre d’affaires considérables se multiplient pour les entreprises. En 2017, le groupe français Saint-Gobain a annoncé plus de 250 millions d’euros de dégâts à cause d’une cyberattaque perpétrée contre une filiale ukrainienne.
Une attaque informatique efficace paralyse complètement les activités d’une entreprise. Le montant des préjudices est difficile à quantifier. Les temps d’arrêt interrompent la production, allongent les délais de livraison. Les ventes sur Internet peuvent être momentanément mises entre parenthèses. À cela s’ajoutent les potentielles opportunités commerciales manquées, etc. Enfin, les données perdues peuvent générer des heures de travail — et donc des coûts — supplémentaires pour le personnel et l’entreprise, afin de retrouver une activité normale.
Coût d’une cyberattaque : les frais de réparation et de protection
Outre les pertes financières dues à l’activité, l’entreprise peut subir des dépenses pour réparer et rétablir le système informatique. Si tout le réseau de l’entreprise est touché, le montant peut alors grimper de façon vertigineuse.
L’analyse du système, afin de déterminer le type de piratage, la partie du réseau infecté et l’étendue des données compromises, demande un temps précieux et une dépense importante. Puis, s’ajoutent à cela les coûts de restauration et un investissement pour mieux protéger le système informatique de l’entreprise. Parfois, l’achat d’un nouvel équipement se révèlera nécessaire.
Les conséquences juridiques de la cybercriminalité
Depuis le 25 mai 2018, une entreprise doit respecter les directives du Règlement général de la protection des données (RGPD). Si elle n’a pas sécurisé ses données, grâce notamment à un expert de la cybersécurité, une entreprise peut être tenue comme responsable auprès de la justice. Le RGPD a également élargi les responsabilités de l’entreprise à ses sous-traitants. En clair, une entreprise peut être reconnue responsable si un de ses sous-traitants néglige la sécurité de ses données clients.
En cas de fuite de données, l’entreprise a l’obligation de la signaler sous 72 heures à l’Autorité de protection des données. En France, l’organisme souverain est la CNIL.
Un non-respect de cette loi européenne ou une fuite de données clients expose l’entreprise à de lourdes sanctions. Celles-ci peuvent atteindre 4 % du chiffre d’affaires annuel. De son côté, le tribunal correctionnel peut condamner le chef d’entreprise à 5 ans d’emprisonnement et la société à 300 000 euros d’amende.
Sans compter que les clients et fournisseurs peuvent également exiger une indemnisation pour non-respect du contrat. En effet, la sécurisation des données représente la contrepartie minimale qu’une entreprise doit verser à ses clients. Toutes ces sanctions juridiques s’ajoutent au manque à gagner lié au ralentissement de l’activité.
Une entreprise sur cinq ayant subi une attaque a déclaré que sa solvabilité avait été menacée, soit une augmentation de 24 % par rapport à 2021 (rapport Hiscox sur la gestion des cyber-risques).
Quelles sont les conséquences d’une cyberattaque sur l’image et la réputation de l’entreprise ?
Un vol de données ne vise pas seulement l’entreprise victime de la cyberattaque. L’opération vise à dérober des informations sensibles comme les données bancaires. Certains pirates se servent du site internet ou du serveur de l’entreprise pour propager des malwares (des logiciels malveillants) aux clients. Ces manœuvres ternissent durablement la réputation de l’entreprise. En effet, cette dernière risque de perdre une partie de sa clientèle pour la concurrence, puis de souffrir pendant quelques années d’un manque de compétitivité.
L’exemple le plus frappant vient du Royaume-Uni, avec l’opérateur téléphonique TalkTalk. En 2015, l’entreprise admet — pour la troisième fois — être victime d’un vol de données sur 150 000 de ses abonnés. De plus, l’attaque fut perpétrée par des adolescents passionnés d’informatique. Ces derniers déclarèrent avec quelle simplicité ils sont passés outre le système de sécurité mis en place par l’entreprise. Accusée de laxisme, TalkTalk perdit 7 % de ses clients, soit environ 300 000 personnes qui résilièrent leur abonnement pour passer à la concurrence.
Par ailleurs, les partenaires commerciaux peuvent craindre de voir le scandale associé à leur nom. En conséquence, certains pourraient rompre leurs contrats et se tourner vers la concurrence. Enfin, une cyberattaque porte atteinte à la réputation de l’entreprise, mais également à ses employés. Avec parfois une démotivation extrême parmi les salariés, entraînant des démissions.
Continuez votre lecture
Foire aux questions sur les programmes de formation
Retour sur le projet 24h00 de CSB
