Coûts des partenariats : les incidents de sécurité impliquant des tiers en tête des failles les plus coûteuses pour les entreprises en 2021
A la veille des Assises de la Sécurité, la dernière édition du rapport annuel IT Security Economics de Kaspersky révèle la gravité croissante des incidents de cybersécurité qui touchent les entreprises via les fournisseurs avec lesquels elles partagent des données. Alors que ce type d'événement ne figurait même pas dans le top 5 des incidents l'année dernière, il s'avère le plus coûteux en 2021, avec un impact financier moyen atteignant 1,4 million de dollars par entreprise dans le monde, contre près de 2 millions de dollars en Europe. Le classement général des pertes dues aux différents types d'attaques a également beaucoup évolué depuis 2020.
Les attaques qui touchent des entreprises internationales par l'intermédiaire de leurs sous-traitants ont clairement tendance à se multiplier. Les chercheurs de Kaspersky le redoutaient dans leurs prédictions sur l’évolution du paysage de la cybersécurité depuis quelques années et c’est devenu réalité. Puisque les entreprises communiquent généralement des données à plusieurs tiers (prestataires de services, partenaires, fournisseurs, filiales, etc.), elles doivent prendre en compte non seulement les risques de cybersécurité qui affectent leur infrastructure informatique, mais aussi ceux pouvant provenir de l'extérieur.
Selon l'étude, un tiers (32 %) des grandes entreprises dans le monde ont subi des attaques impliquant des données partagées avec des fournisseurs, contre près de 28% à l’échelle européenne. Par rapport aux 33 % du rapport 2020, il n'y a donc pas eu de changement significatif. L'impact financier de ce type d'incident reste également le même que l'année dernière (1,4 million de dollars). En revanche, il ne figurait alors qu'en 13e position du classement des pertes moyennes pour toutes les formes d'attaques.
Les conséquences financières se sont réduites pour la majorité des autres types d'attaques, notamment la perte physique d'appareils appartenant à l'entreprise (près de 1,1 million de dollars), les attaques de cryptomining (884 000 dollars ) et l'utilisation inappropriée des ressources informatiques par des employés (1 150 000 dollars). Leur position dans le classement a également changé et reflète le bouleversement entraîné par la pandémie dans le paysage de la cybersécurité des entreprises.
Il en résulte aussi une chute de l'impact financier moyen d'une attaque, qui affiche une baisse notable de 15 % par rapport aux résultats de l'année dernière (927 000 dollars en 2021 contre 1,09 million de dollars en 2020) et sont même plus faibles qu’en 2017 (992 000 dollars).
Attention toutefois, la tendance n’est pas la même en Europe, avec au contraire une croissance de l’impact financier moyen d’une attaque : près de 1,1 million de dollars contre 839 000 dollars en 2020.
Un chiffre qu’il est intéressant de mentionner, c’est que 41% des entreprises européennes ont réussi à éviter de communiquer sur leur faille de sécurité. Une stratégie pas toujours payante puisque même si la communication peut avoir des impacts négatifs sur la réputation, le rapport IT Security Economics de l’année dernière indiquait au contraire que les entreprises qui communiquaient proactivement avaient tendance à réduire leurs coûts vis-à-vis de cette cyberattaque, de près de 40%
« La gravité des attaques démontre que lorsque les entreprises évaluent leurs besoins en cybersécurité, il faut qu’elles prennent en compte le risque d'une fuite impliquant des données partagées avec des fournisseurs. La pandémie a modifié le contexte des menaces et les entreprises doivent être prêtes à s'y adapter. Cela passe par l’évaluation de leurs fournisseurs en fonction de leur catégorie professionnelle et de la complexité de leur accès (qu'ils traitent des données et des infrastructures sensibles ou non), et l’application d’exigences de sécurité en conséquence. Les entreprises doivent s'assurer qu'elles ne partagent des données qu'avec des tiers de confiance et étendre leurs exigences de sécurité existantes aux fournisseurs. Par conséquent, pour le transfert de données ou d'informations confidentielles, les fournisseurs seront tenus de confirmer leur habilitation en présentant la totalité des documents et certifications nécessaires (comme SOC 2). Dans les cas très sensibles, nous recommandons en outre de procéder à un audit de conformité préalable d'un fournisseur avant de signer tout contrat », souligne Evgeniya Naumova, vice-présidente exécutive du département Corporate Business, Kaspersky.
Pour réduire les risques d'attaques et de fuites de données, les entreprises ont tout intérêt à utiliser une protection efficace des terminaux avec des capacités de détection et de réponse aux menaces. De plus, les services managés de protection faciliteront les investigations sur les attaques et le choix de la meilleure réaction. Ce niveau essentiel de protection des terminaux est inclus dans la solution Kaspersky Optimum Security. Pour les entreprises dont la fonction de sécurité informatique est à maturité, Kaspersky Expert Security fournit en outre des capacités anti-APT, les toutes dernières données en matière de menaces et une formation professionnelle dédiée.
Pour en savoir plus sur les coûts et les budgets de la sécurité informatique dans les entreprises en 2021, visitez le site interactif Kaspersky IT Security Calculator. Le rapport complet « Économie de la sécurité informatique 2021 : gérer la tendance à la complexité croissante de l'informatique » est téléchargeable ici. [NM1]
À propos de Kaspersky
Kaspersky est une société internationale de cybersécurité et de protection de la vie privée numérique fondée en 1997. L’expertise de Kaspersky en matière de « Threat Intelligence » et sécurité informatique vient constamment enrichir la création de solutions et de services de sécurité pour protéger les entreprises, les infrastructures critiques, les autorités publiques et les particuliers à travers le monde. Le large portefeuille de solutions de sécurité de Kaspersky comprend la protection avancée des terminaux ainsi que des solutions et services de sécurité dédiés afin de lutter contre les menaces digitales sophistiquées et en constante évolution. Les technologies de Kaspersky aident plus de 400 millions d’utilisateurs et 240 000 entreprises à protéger ce qui compte le plus pour eux. Pour en savoir plus : www.kaspersky.fr.
Coûts des partenariats : les incidents de sécurité impliquant des tiers en tête des failles les plus coûteuses pour les entreprises en 2021
Kaspersky
Articles connexes Communiqués de presse
Selon Kaspersky, la moitié des appareils pris pour cible par des infostealers sont infectés par le logiciel malveillant Redline
D’après Kaspersky Digital Footprint Intelligence, plus de la moitié des appareils visés par des attaques de vol de mots de passe en 2023, l’ont été par le logiciel malveillant Redline (55 %). Bien que le marché des logiciels malveillants continue de croître avec de nouveaux acteurs tels que Lumma, sur les trois dernières années, Redline reste le logiciel malveillant de vols de données le plus utilisé par les cybercriminels.Lire la suite >53 % des appareils infectés par des logiciels malveillants voleurs de données sont des appareils d'entreprise, selon Kaspersky
Selon l’équipe Digital Footprint Intelligence de Kaspersky, la proportion d'appareils d'entreprise infectés par des infostealers a augmenté d'un tiers depuis 2020. 21 % des employés dont les appareils ont été infectés ont exécuté le logiciel malveillant à plusieurs reprises. En réponse à la menace croissante que représentent les info-stealers en entreprise, les experts de Kaspersky sensibilisent au phénomène et proposent des stratégies pour atténuer les risques associés.Lire la suite >Les entreprises investissent plus de 100.000 $ par an pour renforcer les compétences de leurs équipes de cybersécurité
Dans sa dernière étude, Kaspersky révèle que plus de 70 % des entreprises consacrent plus de 100 000 $ (environ 92 000 €) par an pour des formations supplémentaires destinées à leurs spécialistes en cybersécurité afin de maintenir leurs compétences à jour. Cependant, les entreprises interrogées soulignent également un manque de cours pertinents concernant les tendances cyber émergentes : le marché de la formation n’est actuellement pas suffisamment fourni, et les formations choisies n’apportent pas toujours le résultat escompté.Lire la suite >