Culture du hacking

Combien coûte un incident de sécurité informatique ?

En ces temps économiquement difficiles, on a tendance à utiliser les services les moins chers, les plus faciles et les plus rapides, afin de gagner du temps et de l’argent. La question que je me suis posée était de savoir ce que coûtait la gestion d’un incident de sécurité en France.

L’énoncé du problème est le suivant : en cas d’incident de sécurité – touchant évidemment les données d’une structure – combien la gestion de cette incident – peu importe sa provenance – coûte à la dite structure en :

  • Argent ;
  • Temps ;
  • Procédure judiciaire ;
  • Marketing et communication ;
  • Recherche et mise en place de solutions préventives.

Le scénario basique est le suivant : un incident de sécurité a été détecté et on constate que les données de la structure ont été compromises. La première étape va consister en la détection de cet incident, ce qui sous-entend qu’un IDS soit effectivement en place et ce n’est pas toujours le cas. La deuxième étape va être la détermination de la cause de cet incident, la phase de forensics, avec identification ainsi que la phase de notification aux populations victimes de l’incident. La troisième phase sera la mise en place d’une réponse à l’incident de sécurité, ce qui implique d’en faire une si tel n’était pas le cas et de mobiliser les personnes compétentes. Il faudra ensuite organiser la communication et monter un plan de communication. La cinquième phase va consister en la documentation de l’incident, notamment aux personnes concernées mais également aux autorités compétentes. Enfin, il faudra former toutes les personnes de la structure pour qu’elles puissent répondre à celles et ceux qui ont été impactés par l’incident.

Ces six phases sont des coûts directs et indirects d’incident de sécurité : en argent, en temps, en formation.

On peut également procéder à un autre découpage en trois phases :

  • Réaction;
  • Restauration;
  • Réparation.

Que cela soit en six ou trois, les étapes sont sensiblement les mêmes. 

Il existe un autre coût difficile à appréhender : les opportunités perdues. Une structure qui a été victime d’un incident de sécurité va perdre des clients potentiels et aura une mauvaise réputation. A cela s’ajoutent les frais de procédures juridiques. En effet, une structure est responsable des données qu’elle héberge ou qu’elle manipule et peut donc être attaquée par des victimes parce qu’elle n’a pas été assez diligente en la matière. Autre point non négligeable : si la structure opère un traitement de données non-déclaré à la CNIL, elle est passible de lourdes sanctions financières. Il a été constaté une augmentation des incidents de sécurité. En réalité, c’est surtout une augmentation des déclarations d’incidents. A titre de comparaison, en 2010, 19% des structures disaient ne pas avoir été victimes d’incidents et 17% ne savaient pas si elles avaient fait l’objet d’une attaque. 

A proprement parler, le coût moyen d’une donnée compromise coûte 127€. On estime qu’environ 22 242 données en moyenne compromises sont comprises lors d’une attaque, ce qui revient à estimer qu’un incident de sécurité coûte environ 2 824 607€. Cette estimation est calculée en prenant en compte les coûts directs et indirects ainsi que les opportunités perdues.

La répartition moyenne des coûts est la suivante :

  • 30% pour l’investigation et l’analyse forensics ;
  • 9% pour l’audit et les services de consultants ;
  • 9% pour le suivi ;
  • 7% pour le marketing ;
  • 1% pour la communication ;
  • 4% pour les services juridiques en défense ;
  • 3% pour les services juridiques pour la mise en conformité ;
  • 2% de « cadeaux » aux clients ;
  • 1% pour l’identification des services protégés ;
  • 27% des opportunités perdues ;
  • 7% d’acquisition clientèle.

Vous l’aurez noté, c’est le terme incident de sécurité qui a été utilisé et non celui d’attaques. En effet, la compromission des données n’était pas systématiquement la résultante d’une attaque informatique.

Il a été estimé que 31% des incidents de sécurité était dus au facteur humain et 27% à une défaillance électrique/électronique entraînant un dysfonctionnement du matériel, impactant le logiciel. Seulement 42% des incidents de sécurité ont pour origine une attaque informatique.

Le facteur humain est aussi bien la perte/vol d’un terminal contenant des données sensibles qu’une mauvaise organisation, qu’une mauvaise gestion des règles de sécurité informatique ou, plus simplement une crise de confiance. Sur ces 31% d’incidents dus au facteur humain, 27% sont le fait d’anciens collaborateurs et 16% de prestataires de la structure. La perte de terminaux comme facteur influent sur le coût d’un incident de sécurité est estimée à 39%.  

Concernant les prestataires, cela désigne les fournisseurs, les prestations sous-traitées, les fournisseurs d’hébergement et les partenaires commerciaux et/ou financiers.

Enfin, par rapport à d’autres pays, la France se situe dans la moyenne. A noter que c’est en Allemagne que la proportion d’incidents de sécurité dus à un facteur humain est la plus grande. 

Ces quelques informations sont la démonstration d’une absence de prévention. La sécurité à 100% n’existe pas, ni dans le monde physique, ni dans le monde numérique. Personne n’est à l’abri d’un incident de sécurité mais il est possible d’en éviter certains et/ou d’en réduire leurs portées. Ce qui fera l’objet d’un autre texte.