12% seulement des entreprises dans le monde s‘inquiètent des programmes malveillants. C’est l’une des principales données révélées par l’enquête sur les risques liés à la sécurité informatiques (ITSRS), rapport réalisé tous les ans par Kaspersky.

Cette enquête, la neuvième du genre, a été menée sur le premier semestre 2019 auprès de 4.958 opérateurs économiques dans 23 pays (y compris dans la zone Mena).

Les entreprises ignorent le danger

Cette faible conscience des menaces informatiques contraste avec la montée des risques et des coûts des incidents.

Rien que pour le premier semestre 2019, près de 4.000 violations de données ont été commises, selon Kaspersky, mettant en péril les données de plus de 4 milliards d'utilisateurs.

Les programmes malveillants, menace qui semble ne pas inquiéter les entreprises, est justement l’incident de sécurité le plus coûteux avec une moyenne de 2,73 millions de dollars.

L’enquête montre aussi que les entreprises ne sont pas au courant des attaques qui leur coûtent le plus cher.

Les firmes de toutes tailles se sentent en effet de plus en plus confiantes quant à la sécurité de leurs réseaux. Le nombre d’entreprises qui se déclarent «100% confiantes que leur réseau n’a pas été piraté» a augmenté de plus de 10% par rapport à 2016 et de 3% en glissement annuel.

Cependant, malgré cette confiance, plus d'un tiers estiment toujours qu'ils ne disposent pas d'informations suffisantes sur le type de menaces auxquelles leur entreprise est confrontée.

Cela se reflète notamment dans les types de menaces qui préoccupent le plus les entreprises sondées.

Ainsi, malgré le faible pourcentage d’entreprises qui se disent très préoccupées par l’infection par des logiciels malveillants, cette menace est en réalité la forme d’incident de sécurité ayant le plus gros impact financier : une moyenne de 2,73 millions de dollars cette année.

Les PME ignorent également les formes d’attaque les plus coûteuses. Le type de violation de données le plus coûteux pour ces entreprises sont les incidents affectant l’infrastructure informatique hébergée par un tiers, représentant un coût moyen de 162.000 dollars.

Toutefois, les PME ne la classent que comme la cinquième menace la plus importante et se préoccupent davantage des problèmes de protection des données, tels que la perte d'un périphérique physique ou la perte de données lors d'une attaque ciblée.

Les employés, première source de risque

S’agissant des incidents les plus fréquents, le rapport révèle que les entreprises et les PME étaient le plus souvent touchées par des violations de données à la suite d'une utilisation inappropriée des ressources informatiques par les employés (52% des entreprises, 50% des PME).

Cet incident est suivi de l'infection de périphériques appartenant à l'entreprise par des logiciels malveillants (51%, 49% PME).

"Cela indique que les entreprises pourraient envisager de réduire le risque de violations de données en renforçant la formation des employés en matière de sécurité des données, afin de les sensibiliser à une utilisation informatique sécurisée", recommande le rapport.

Fait étonnant : en 2019, les incidents de sécurité les plus coûteux pour les PME ne sont pas forcément les plus fréquents.

Les trois attaques les plus coûteuses contre les PME de cette année sont les incidents liés à une infrastructure informatique hébergée par une tierce partie (162.000 USD), les attaques DDoS (138.000 USD) et les attaques ciblées (138.000 USD).

Cependant, en termes de fréquence, ils ne se situent respectivement qu'aux 16e, 12e et 10e places dans la liste des incidents de sécurité visant les PME.

Les appareils mobiles (1,69 million de dollars) figurent en revanche parmi les six premiers de la liste des incidents de sécurité les plus fréquents.

Et contrairement à ce que l’on pourrait croire, les attaques ciblées ne sont que le cinquième incident le plus coûteux.

Le coût des incidents en augmentation

Dans l'ensemble, le coût des violations de données pour les entreprises a augmenté. Leur impact financier unitaire a atteint 1,41 million de dollars, contre 1,23 million de dollars l'année précédente.

La plus forte augmentation des coûts provient de la croissance du nombre d’experts externes engagés pour prévenir ou réparer une violation (170.000 dollars) et du coût des affaires perdues (163.000 dollars).

À ce coût s'ajoutent les dépenses supplémentaires en relations publiques pour réparer les dommages causés à la marque après une violation (161.000 dollars).

En comparaison, le coût total des atteintes à la sécurité des données par les PME s'est élevé en moyenne à 108.000 dollars, en baisse par rapport aux 120.000 dollars en 2018, avec une réduction des dépenses en indemnisations (5.000 dollars), des affaires perdues (13.000 dollars) et des logiciels et infrastructures (13.000 dollars)

Des constats qui poussent les experts de Kaspersky à recommander aux entreprises  et PME de "continuer à investir dans leur avenir dès maintenant, afin d'éviter les attaques, au lieu d'attendre, de manière à être prêtes à affronter la prochaine génération d'incidents de sécurité".

"Il est essentiel que les entreprises continuent d’investir et de repenser leurs processus de sécurité informatique afin de conserver une longueur d’avance sur le nombre croissant de cyber attaques et de limiter les pertes financières éventuelles", concluent-ils.