Combien coûtent les failles de sécurité aux entreprises ?

Cisco a publié son 10ème rapport annuel sur la cybersécurité, incitant certains articles à hurler que les failles de sécurité peuvent coûter aux entreprises 20% de leur chiffre d’affaires annuel.

Cependant, en creusant un peu, on constate que seulement un tiers des entreprises interrogées dans l’enquête (plutôt conséquente d’ailleurs) ont déclaré une telle perte. D’autres retours placent le niveau des pertes beaucoup, beaucoup plus bas, mais personne ne nie le fait qu’il s’agisse d’un vrai problème, et que la tendance est à l’augmentation.

Le sondage de Cisco a concerné 3 000 personnes au niveau des directions générales. Il a constaté que 50% des entreprises doivent faire face au regard accusateur du public après des failles de sécurité, représentant un risque pour la réputation, et 20% ont déclaré avoir perdu des clients par la suite. En outre, 23% d’entre eux ont identifié des opportunités d’affaires manquées suite à des cyberattaques.

Les contraintes budgétaires, les systèmes incompatibles et le manque de compétence du personnel ont été les principales raisons à l’origine de ces failles de sécurité, a indiqué la compagnie. Néanmoins, la détection des failles de sécurité, a accéléré considérablement, offrant ainsi une certaine satisfaction.

Le coût global d’une faille de sécurité est plus difficile à déterminer. Un tiers des entreprises ont dit à Cisco qu’elles avaient perdu 20% de leur chiffre d’affaire après une cyberattaque, alors que d’autres retours étaient plutôt en désaccord avec ce chiffre. Le rapport d’IBM sur le coût d’une faille de sécurité indique que le coût consolidé moyen d’une faille est passé de 3.8 millions $ à 4 millions $ au cours de la dernière année, bien que ce coût ne soit pas exprimé en pourcentage du chiffre d’affaires. En parallèle, Bluecoat a déclaré que quels que soient les chiffres annoncés, les entreprises prévoyaient moins de failles de sécurité cette année que l’an dernier.

Le coût exact d’une faille de sécurité est presque impossible à calculer. Encore récemment, nous avons eu un cas où des forums tiers pour Xbox et Playstation ont vu leurs données compromises. Ces forums ne sauront jamais combien de personnes envisageaient de s’inscrire, mais ne le feront finalement pas.

De la même manière, les entreprises interrogées dans le sondage Cisco ont confirmé qu’elles avaient perdu des clients potentiels, mais elles ne peuvent pas connaître avec précision les cas où elles ne faisaient déjà pas partie de la shortlist, avant même la prise de contact.

La seule chose qui semble possible de déduire ici, quelles que soient les justifications apportées, est que les failles de sécurité sont de plus en plus nombreuses, et que l’impact au final est terrible !

Follow @ SophosFrance //platform.twitter.com/widgets.js
Billet inspiré de What’s the actual cost to a business of a data breach?, par Guy Clapperton, Sophos NakedSecurity.