Le coût des cyberattaques ? Personne n’en sait rien, selon l’UE

L’Agence européenne de cybersécurité (Enisa) a étudié plusieurs rapports pour déterminer le coût réel des cyberattaques. La diversité des approches empêche tout calcul précis.

L’Agence européenne en charge de la sécurité des réseaux et de l’information (Enisa) a tenté de déterminer l’impact économique des cyberattaques contre les infrastructures d’information critiques dans l’Union européenne et au-delà… Sans y parvenir vraiment. L’Enisa s’en explique.

« La mesure de l’impact réel des incidents en termes de coûts nécessaires pour un retour à la normale s’avère être un véritable défi », souligne l’agence. Son étude (The cost of incidents affecting CIIs) analyse 17 rapports publiés entre 2013 et 2015. Onze concernent l’international, six couvrent l’Europe.

Des millions ou des milliards d’euros ?

Les données ne manquent pas, mais les rapports commerciaux et publics étudiés adoptent tous « différentes perspectives, en se concentrant sur certaines industries, en utilisant différents critères de mesure ou en tenant compte de certains types d’incidents ». Cette absence d’une approche et de critères communs rend ces rapports pertinents dans un certain contexte, mais rarement comparables.

Le coût des cyberattaques peut ainsi varier de 425 000 euros à 20 millions d’euros par entreprise et par an en Allemagne, selon une étude mentionnée par l’Enisa (Cost of Cyber Crime Study – Germany, Ponemon Institute, 2014). Et la perte pour l’économie mondiale serait comprise entre 375 et 575 milliards de dollars, selon une autre étude (Net Losses: Estimating the Global Cost of Cybercrime, McAfee, 2014).

Attaques d’initiés et déni de service

Malgré le flou, les auteurs de l’étude de l’Enisa, Dan Tofan, Theodoros Nikolakopoulos et Eleni Darra, ont pu appréhender l’ampleur du phénomène à partir des rapports étudiés.

Sans surprise, la finance, les technologies de l’information et de la communication (TIC) et l’énergie sont les secteurs qui enregistrent les coûts les plus élevés par incident.

Les attaques les plus courantes ciblant ces secteurs sont les attaques par déni de service (DoS) et/ou déni de service distribué (DDoS). La finance et les TIC, ainsi que le secteur public, sont également très exposés aux attaques perpétrées par des initiés. Selon l’Enisa, ces deux types d’attaques (déni de service et hack d’initiés) représentent à elles seules « la moitié du coût annualisé du cybercrime ».

Lire aussi :

Fuite de données : un coût moyen de 4 millions de dollars

Le cybercrime fait bondir la fraude en entreprise en France

Cybercrime : un coût de 2100 milliards de dollars pour les entreprises d’ici 2019

crédit photo © Artens / shutterstock.com