Cyberattaques: Les entreprises passent à la caisse

INFORMATIQUE La 4e édition de Hack in Paris, sommet international du hacking et de la sécurité informatique se tient du 23 au 27 juin à Marne-la-Vallée…

Romain Lescurieux

— 

Illustration virus informatique.
Illustration virus informatique. — DURAND FLORENCE/SIPA

Ebay, Domino’s Pizza ou encore Orange, toutes ces entreprises ont été victimes de cyberattaques en 2014, touchant plusieurs milliers de personnes. Orange a reconnu que ce vol d’informations personnelles a concerné 1,3 million de clients et prospects. Ils étaient 145 millions d’utilisateurs dans le cas d’Ebay, faisant de ce rapt virtuel la deuxième plus grande fuite de données personnelles sur Internet.

«Douze attaques par seconde dans le monde»

Et à chaque casse, tout y passe: Identités, mots de passes, coordonnées bancaires et autres informations personnelles, laissant les entreprises dans une grande incapacité de réaction. Mais au-delà des grands groupes, toutes les boîtes, mêmes les plus petites, sont assujetties à ces attaques récurrentes.

«De manière générale, les cyberattaques ont doublé entre 2012 et 2013. On compte désormais douze attaques par seconde dans le monde», affirme Jean-François Beuze, spécialiste en cybersécurité et président de Sifaris, entreprise française de sécurisation des réseaux d’information. Entre aisance et capacité d’évolution, comment procèdent les cybergangs?

Spams, phishing, rançons

«Dans 90 % des cas, une cyberattaque commence par un mail avec un lien ou une pièce jointe piégée et atteint très souvent son but», explique Winn Schwartau, spécialiste de la sécurité informatique et du cyber-terrorisme, à 20 Minutes à l’occasion de Hack in Paris, qui se tient cette semaine. «Il est en effet de plus en plus facile d’attaquer», poursuit l’expert. Spams, phishing (se faire passer pour l’entreprise), cryptage de fichiers et demandes de rançons… les techniques ne manquent pas et évoluent vite.

«Les entreprises se défendent toutefois bien. Mais il est plus facile d’attaquer en cherchant une faille dans le système d’information, que de protéger une entreprise jusqu’au moindre recoin», ajoute Winn Schwartau. Evidemment, la motivation première d’une attaque reste la fraude financière et le vol de données sur les clients. Dans ce contexte, quel est le coût d’une cyberattaque pour l’entreprise victime?

«Une cyberattaque coûte en moyenne 5 millions de dollars»

La grande majorité des groupes ne communiquent pas sur ce point. Mais les spécialistes et études s’accordent sur les chiffres. «Une cyberattaque coûte en moyenne 5 millions de dollars (plus de 3,5 millions d’euros) à l’entreprise», commente Jean-François Beuze qui cite une étude de l’Institut Ponemon qui date de 2013. Il faut en effet compter les frais d’investigations, d’investissement dans la technologie, d’installation de protection et surtout de rétablissement d’une image de marque.

En effet, au-delà du coût, Winn Schwartau affirme que l’enjeu majeur dans une situation d’attaque, c’est la réputation. «Une cyberattaque prouve une grosse défaillance dans le système d’information, écorne la crédibilité de l’entreprise et peut faire massivement fuir les clients», dit-il. Et cite un récent cas devenu emblématique aux Etats-Unis.

Entre le 27 Novembre 2013 et le 15 Décembre 2013, Target, la troisième chaîne de distribution du pays, s’est fait subtiliser plus de 40 millions de données bancaires. Le groupe a déclaré avoir dépensé plus de 60 millions de dollars (44 millions d’euros) suite à l’attaque. «Entre-temps, les clients, eux, avaient déserté», lâche l’expert.