Evolution de la cybercriminalité et du coût lié au piratage informatique
Dans son numéro 99, paru en mars 2013, Atlas Magazine a consacré un dossier à la sécurité informatique. L’actualité récente nous invite à faire le point sur les récents développements observés dans ce domaine et à actualiser nos données. Nous abordons donc à nouveau ce sujet que nous publions en deux parties. La deuxième partie qui sera publiée en juin, se penchera sur l’assurance des cyber-risques.
 Cyber hacker © Chiefhacker.harry , CC BY-SA 3.0 |
De nos jours, l’activité des entreprises repose sur une utilisation intensive des systèmes informatiques. Des pans entiers de l’économie sont fortement dépendants de la gestion des données électroniques et de leur transfert par les réseaux. Ces données, dont la masse croit de 60% annuellement font partie du capital immatériel des entreprises, devenues ainsi très vulnérables à la cybercriminalité.
Avec le renouvellement des technologies, la multiplication et l’interconnexion des systèmes d’information, les menaces évoluent. Des brèches se créent.
Aujourd’hui, les frontières entre les appareils professionnels et privés s’estompent. De plus, l’externalisation des données est courante et on évalue à plus de 30 milliards le nombre de machines connectées dans la prochaine décennie.
Autant de failles potentielles exploitables par les pirates informatiques. Au niveau mondial, la cybercriminalité a coûté 110 milliards USD à l’ensemble des sociétés en 2013. Ce coût incite les entreprises à transférer de plus en plus ce risque aux sociétés d’assurance.
Cybercriminalité – L’évolution du type et du nombre d’attaques informatiques
Selon une étude menée par Symantec, les cybers-criminels planifient avec rigueur leurs offensives. Les entreprises sont de plus en plus ciblées car les informations qu’elles détiennent sont d’une grande valeur. Le détournement de ces données est source d’enrichissement illicite. Les cyber-escrocs les mieux organisés ne se contentent plus de contaminer de front les réseaux, ils préfèrent s’introduire dans les systèmes par le biais de partenaires commerciaux. En 2014, le pourcentage d’incidents attribués aux fournisseurs de services, consultants ou sous-traitants a progressé respectivement de 18% et 15%.
Les attaques sont variées. Elles peuvent consister en des mises à jour de logiciels. Il s’agit alors d’attendre leur installation par l’utilisateur afin d’inoculer un virus ou un cheval de Troie. D’autres méthodes consistent à déclencher dans un premier temps une attaque basique en guise de diversion suivie d’une autre plus intelligente et ciblée.
L’envoi d’e-mails reste un autre moyen classique pour introduire un programme malveillant. Alors qu’auparavant des milliers d’e-mails étaient utilisés par les hackers, seuls quelques-uns sont aujourd’hui envoyés. Ils sont ciblés, adaptés aux personnes visées (service comptabilité, secrétariat etc.). L’ouverture de l’e-mail ou de la pièce jointe provoque l’activation du programme d’intrusion.
La cybercriminalité prend une nouvelle tournure lorsqu’elle est élaborée dans le but de prendre le contrôle de réseaux ou d’appareils afin d’exiger des rançons. La technique des « cryptlockers » consiste à placer dans les systèmes informatiques des logiciels de blocage. Une rançon pouvant atteindre plusieurs dizaines de milliers de dollars est alors exigée contre le déverrouillage des appareils et systèmes en cause.
Le sabotage d’installations industrielles est une autre alternative. Stuxnet est le nom d’un programme informatique découvert en 2010. Il a contaminé, par propagation, de nombreux sites industriels dans le monde.
Selon le gouvernement britannique, il s’écoule, en moyenne, 200 jours entre l’installation d’un logiciel malveillant et sa détection. Ce nombre est de 173,5 jours selon PricewaterhouseCoopers (PwC).
Le nombre de cyber-attaques est en constante augmentation. On estime qu’en 2013, 42 800 000 événements de ce type ont eu lieu, soit plus de 117 000 par jour, portant la quantité de données dérobées à 740 000 000. Toujours selon Symantec, pour la seule année 2014, cinq grandes entreprises sur six ont été victimes d’attaques dans le monde. Le nombre de cybercrimes déclarés a bondi de 48% durant la même année.
La société de modélisation AIR Worldwide a comptabilisé les cas de piraterie recensés à travers le monde. Le graphique ci-dessous confirme la très nette accélération observée depuis 2013.
Nombre de cas de piraterie recensés dans le monde
Source: «New approaches for managing cyber risk», 2015 Air Worldwide Cette tendance est confirmée par l’enquête menée par PwC publiée sous le titre: «The Global State of Information Security Survey 2015».
L’étude réalisée auprès de 9700 entreprises révèle que le nombre d’incidents est en hausse constante avec un taux de croissance annuel de 66% depuis 2009. Ce taux s’intensifie entre 2013 et 2014.
Total du nombre d’incidents détectés: 2009-2014
En millions USD 
Source: PwC: "The Global State of Information Security Survey 2015 "
Cybercriminalité - Evolution de la perception du risque informatique
Les divers sondages publiés par PwC montrent que la perception du risque d’attaque informatique est en constante augmentation. Le pourcentage de personnes sondées qui pensent que ces risques sont en augmentation passe de 39% en 2011 à 48% en 2014.
Source: PwC: The 2014 Global Economic Crime Survey"
Les coûts liés à la cybercriminalité
Les coûts des attaques des systèmes informatiques peuvent être importants pour les entreprises, ils englobent:
- Les frais de contrôle des systèmes informatiques potentiellement affectés,
- Les frais de réparation/décontamination virale et de reconstitution éventuelle des données,
- Les frais de notification aux clients,
- Les frais de défense et les pénalités à la suite d’actes en justice,
- Les pénalités imposées par le législateur,
- Les frais de communication pour gestion de crise.
Le coût de restauration d’une donnée perdue est compris entre 24 et 243 USD. Une accumulation de pertes de data peut alors s’avérer particulièrement onéreuse.
Le coût d’une cyber-attaque est estimé en moyenne par PwC à 2,7 millions USD en 2014, soit 34% de plus qu’en 2013. En 2013, les dommages engendrés, au niveau mondial, par les cybers attaques sont estimés à 110 milliards USD.
Le nombre de sociétés ayant enregistré des «cyber» sinistres d’un montant supérieur à 20 millions USD a bondi de 92% à la fin de l’année 2013.
Le coût moyen par attaque informatique s’accroit avec la taille de l’entreprise ciblée. Ce sont les sociétés dont le chiffre d’affaires est supérieur à 1 milliard USD qui subissent les conséquences financières les plus lourdes.
Les pertes qu’elles enregistrent par sinistre passent en moyenne de 3,9 millions USD à 5,9 millions USD entre 2013 et 2014, soit un taux d’accroissement de 51% en une année. A l’inverse, les pertes financières moyennes par attaque sont en recul entre 2013 et 2014 pour les entreprises ayant un chiffre d’affaires inférieur à 100 millions USD.
Le coût moyen d’une attaque informatique selon la taille de l’entreprise: 2013-2014
Source: PwC "The Global State of Information Security Survey 2015"
Les pays les plus touchés par la cybercriminalité
Les Etats-Unis sont le pays où les cyber-attaques sont les plus nombreuses. Le pays concentre près de 21% des événements en 2014. On estime que 7% des firmes américaines ont perdu 1 million USD ou plus suite à des incidents liés à la cybercriminalité en 2013.
Près de 19% des entreprises outre atlantique affirment avoir subi des pertes comprises entre 50 000 et 1 million USD. Ce chiffre n’est que de 8% à l’échelle planétaire.
Les pays les plus attaqués en 2014, en % du total mondial
* La France est classée au 14 ème rang mondial Source: Symantec
Les industries potentiellement exposées à la cybercriminalité
Les industries ne sont pas exposées de façon identique à la cybercriminalité. Selon les scénarios d’accumulation des risques développés par Swiss Re, le secteur bancaire est le plus menacé, suivi par les centres médicaux et l’assurance.
L’estimation de l’exposition dépend de facteurs agissant sur la probabilité de survenance et la sévérité de l’attaque.
Ces facteurs sont:
- La dépendance aux services de sociétés tiers pour le stockage des données (le Cloud est un élément aggravant), les processus de transaction (cartes de crédit, paiements en ligne, etc), la gestion automatisée (par le biais de programmes informatiques),
- La qualité de la protection informatique,
- Le plan de réaction aux incursions malveillantes dans les systèmes informatiques,
- Le type de données stockées (financières, privées, gouvernementales, commerciales, etc).
Secteurs d’activité les plus exposés à la cybercriminalité
Le tableau ci-dessous résume l’exposition des différents secteurs d’activité économique à la cybercriminalité:
| Classement | Secteurs d'activité |
|---|---|
| 1 | Banque |
| 2 | Services de santé |
| 3 | Assurance |
| 4 | Télécommunication |
| 5 | Audit et comptabilité |
| 6 | Aviation |
| 7 | Commerce et vente au détail |
| 8 | Industrie hôtelière |
| 9 | Industrie manufacturière |
| 10 | Architectes, ingénieurs génie civil et économistes |
| 11 | Industrie du bâtiment |
| 12 | Industrie alimentaire |
Source: Munich Re, Cyber resilience-The cyber risk challenge and the role of insurance-Décembre 2014
Cybercriminalité - Quelques exemples de sinistres récents
Target
En décembre 2013, Target, la troisième plus grande enseigne de distribution américaine est victime d’un assaut fulgurant de hackers. Soixante-dix millions de clients voient leurs informations personnelles piratées, notamment leurs données bancaires. La réputation de Target en prend un sérieux coup.
Cette cyber attaque coûtera environ 1 milliard USD au distributeur (indemnisation des clients, notamment pour les cartes bancaires réémises). Cet acte a amputé les bénéfices du quatrième trimestre 2013 du groupe de 440 millions USD.
Le CEO démissionnera quelques mois plus tard. En mars 2015, un juge du Minnesota, condamne Target à verser jusqu’à 10 millions USD aux clients ayant subi un préjudice dans cette affaire.
eBay
 © Denis Grgečić Valput, CC BY-SA 3.0 |
En mai 2014, le géant américain eBay se fait dérober les données de 140 millions de comptes clients (noms, adresses mail, coordonnées postales, numéros de téléphone, dates de naissance et mots de passe). Les mots de passe des salariés sont également subtilisés. eBay doit rassurer ses clients en confirmant qu’aucune référence bancaire n’a pu être volée.
Sony Pictures
Le 24 novembre 2014, des hackers ont pénétré les systèmes informatiques de Sony Pictures sur divers sites de la compagnie, incluant son siège à Los Angeles. Des données volées, incluant des films inédits et des informations internes confidentielles (des centaines de milliers de documents dont des informations juridiques, des e-mails, des plans marketing ou stratégiques, les détails de salaire), ont été divulguées sur des sites de téléchargement grand public.
Orange
L’opérateur téléphonique français Orange a subi deux cyber-attaques en l’espace de quelques mois. En janvier puis avril 2014, des millions de données personnelles de clients sont subtilisées. Le coût de ces incidents pour Orange est supérieur à 24 millions d’Euros.
TV5 monde
Les 8 et 9 avril 2015, la chaine de télévision française TV5 monde subit une attaque informatique de grande ampleur. Les deux serveurs permettant la diffusion du flux vidéo à l’antenne ne peuvent plus fonctionner. Les programmes sont interrompus. Le montant du sinistre n’est pas encore connu.
Ryanair
 |
La compagnie aérienne Ryanair annonce que des pirates informatiques ont dérobé près de 5 millions de dollars après avoir réalisé un transfert électronique frauduleux passé via une banque chinoise.
Selon le transporteur, ces fonds auraient dû servir au paiement de factures de kérosène. Cette fraude a été découverte le 24 avril 2015.
- Vous devez vous identifier ou créer un compte pour écrire des commentaires
