27 juin 2023
Lecture 3 mn
En 2022, les cyberattaques ont coûté 2 milliards d'euros aux entreprises françaises
Si la cybersécurité est depuis plusieurs années désignée comme le risque numéro un par les auditeurs internes européens dans le cadre de l’étude Risk in focus1, une première estimation du cabinet Asterès2 permet désormais d’en mesurer l’impact réel. L’an dernier, les organisations françaises ont dû débourser plus de 2 milliards d’euros, dont près de la moitié pour payer des rançons à des hackers.
En avril dernier, l’ANSSI (Agence nationale de la sécurité des systèmes d’information) publiait son « Panorama de la cybermenace 2022 », confirmant que la cybercriminalité représentait toujours un risque élevé en France pour toutes les organisations. Ses experts constataient que les attaques visaient dorénavant moins les opérateurs régulés3, de mieux en mieux protégés, pour se concentrer davantage sur des entreprises plus vulnérables. Avec des conséquences souvent redoutables mais d’un montant global difficile à évaluer.
Le cabinet Asterès, dirigé par l’économiste Nicolas Bouzou, vient justement de publier les résultats d’une étude réalisée à la demande du CRIP (Club des Responsables d’Infrastructure, de technologies et de Production Informatique)4 sur le coût des cyberattaques réussies en France en 2022. Asterès a retenu les actions d’intrusion par phishing et par exploitation de faille, les attaques par rançongiciel et celles par déni de service (en rendant inaccessible un serveur par l'envoi d’une multitude de requêtes pour le saturer) ayant entraîné un impact opérationnel et/ou un coût financier. 385 000 cyberattaques visant des organisations françaises auraient ainsi été réussies l’an dernier.
62% des entreprises victimes d’une attaque par rançongiciel auraient accepté de payer
Selon Asterès, le coût de l’ensemble de ces cyberattaques réussies s’élèverait à un peu plus de 2 milliards d’euros : un coût direct de 887 millions d’euros pour répondre directement aux attaques, 888 millions pour le paiement de rançons, mais aussi des pertes de production pour 252 millions. Des montants très élevés et qui ne prennent même pas en compte les dépenses « préventives » engagées par les entreprises pour se protéger des cyberattaques (recrutement d’informaticiens spécialisés, achat de solutions logicielle, etc.).
Asterès, qui a mené son enquête auprès des adhérents du CRIP (ainsi que sur des études réalisées à l’étranger), estime le coût moyen d’une cyberattaque à 59 000 euros. Mais il serait en fait de 225 000 euros pour une grande entreprise, les plus graves ayant pu dépasser l’an dernier un montant de 10 millions d’euros. Quant aux rançons versées en 2022, elles seraient en moyenne de 250 000 euros. Toujours selon Asterès - chiffre au moins aussi inquiétant qui souligne la fragilité de organisations face à ces menaces - 62% de celles ayant été victimes d’une attaque par rançongiciel auraient accepté de payer.
Les PME, premières victimes des cyberattaques
Sur les 385 000 cyberattaques réussies ayant touché les entreprises françaises en 2022, il est à noter que les PME ont été d’après Asterès les premières victimes, et de très loin : 330 000 actions perpétrées. À comparer avec les ETI de plus de 250 employés et les grandes entreprises qui n’ont elles subi « que » que 17 000 attaques réussies, les autres ayant visé essentiellement des administrations et des collectivités.
Enfin, autre menace que l’étude d’Asterès n’a pas pu prendre en compte et que l’ANSSI a une nouvelle fois signalé dans son « Panorama de la cybermenace 2022», l’espionnage informatique est demeuré l’an dernier très présent, visant aussi bien la captation d’informations sensibles concernant le renseignement que le vol de technologies pouvant là encore considérablement impacter les entreprises françaises, pour un coût bien difficile à estimer.
1 https://www.ifaci.com/risk-in-focus/
2 https://asteres.fr/etude/les-cyberattaques-reussies-en-france-un-cout-de-2-mdse-en-2022/
3 Définis par les directives européennes NIS 1 et 2 (Network and Information Security) de 2016 et 2022, il s’agit des organisations appartenant aux secteurs jugés essentiels, qui se voient imposer certaines contraintes et obligations en matière de sécurité : administrations, mais aussi entreprises liées à la santé, au transport, etc.