Le budget moyen nécessaire pour se relever d’une violation de sécurité atteint 504 000 EUR pour les grandes entreprises et 34 750 EUR pour les petites et moyennes entreprises. Telle est l’une des conclusions majeures d’un rapport établi par Kaspersky Lab sur la base d’une enquête mondiale auprès de 5 500 entreprises. Selon l’enquête, les types d’incidents de sécurité informatique les plus coûteux sont : fraudes par des employés, cyber espionnage, intrusion dans les réseaux et défaillances de fournisseurs externes.
Une violation grave des systèmes de sécurité informatique engendre de nombreux problèmes pour l’entreprise. Comme les dommages sont très variables, il est parfois difficile pour les victimes elles-mêmes d’évaluer le coût total d’une intrusion. La méthode utilisée pour cette enquête se basait sur des données des années précédentes. Kaspersky Lab a pu déterminer avec précision sur quels plans les entreprises doivent engager des dépenses ou perdent de l’argent suite à un incident de sécurité. Les entreprises doivent généralement dépenser davantage en services professionnels (notamment des spécialistes IT externes, des juristes, des consultants, etc.) et enregistrent une réduction de leurs recettes du fait qu’elles manquent des opportunités commerciales et subissent des temps d’immobilisation des systèmes.
Par ailleurs, la probabilité des différentes dépenses ou pertes varie et il s’agit là d’un point important qu’il faut prendre en compte en plus de la taille de l’entreprise. Une méthode similaire a été utilisée pour évaluer les dépenses indirectes. Par dépenses indirectes, il faut entendre les budgets dont les entreprises ont besoin après les interventions de remise en service mais qui découlent encore de l’incident de sécurité informatique. Outre les sommes déjà citées, les entreprises sont généralement amenées à dépenser encore entre 7 000 EUR (PME) et 63 000 EUR (grandes entreprises) en personnel, en formations et en mises à niveau des infrastructures.
Sur l’ensemble des entreprises ayant participé à l’enquête, neuf sur dix ont indiqué avoir subi au moins un incident de sécurité. Cependant, tous les incidents n’ont pas forcément été de grande gravité et/ou n’ont pas tous conduit à une perte de données sensibles. Généralement, une violation de sécurité grave est la conséquence d’une attaque par maliciels, d’opérations d’hameçonnage, de fuites de données par des employés et d’exploitations frauduleuses de failles dans les logiciels. Les coûts estimés offrent un nouveau regard sur la gravité des incidents de sécurité informatique. Dans ce cadre, les points de vue des PME et des grandes entreprises diffèrent quelque peu