Dirigeants, combien vous coûterait une cyber-attaque ?

hack costNous avons compilé quelques questions que les dirigeants se posent sur l’impact financier d’une cyber-attaques.

Si vos dirigeants ne sont pas au courant des indicateurs clés de risque concernant la cybersécurité, c’est peut-être parce que votre entreprise pense être à100% en sécurité. Mais si vos défenses n’étaient pas aussi fortes que vous ne le pensiez? Nous avons développé une petite liste pour que les dirigeants puissent identifier les principaux coûts d’une cyber-attaque.

Voici trois questions qui doivent faire réfléchir les dirigeants :

– Et si votre entreprise perdait 20% de sa valeur en bourse en un mois ?
– Et si vous perdiez 2,5% de vos clients en 2 mois ?
– Et si 6,25% de votre trésorerie disparaissait du jour au lendemain?

Respectivement, pour les dirigeants de Yahoo, TalkTalk et la Banque du Bangladesh, ces questions cauchemardesques ne sont pas hypothétiques … elles sont basées sur des événements réels. Vous allez découvrir pourquoi ci-dessous.

Sergio Loureiro, PDG de SecludIT, indique qu’aucune société au monde ne peut se permettre de négliger le risque. « Nous avons effectué plusieurs milliers de scans de vulnérabilité du réseau d’entreprise, » ajoute t-il, « et plus de 98% d’entre eux ont montré des vulnérabilités qui pourraient être exploitées par des pirates. »

Pour aider les dirigeants à comprendre leurs propres risques, SecludIT a lancé les Indicateurs Clés de Risque.

Pour citer un article récent de la Harvard Business Review (lien ci-dessous): « La plupart des managers comptent sur les conseils des “heat maps” qui décrivent leurs vulnérabilités comme « faibles » ou « élevées » sur la base de vagues estimations suite à des petites cyber-attaques fréquentes voire quelques rares de plus grandes ampleurs. Mais cette approche ne permet pas aux managers de comprendre si ils ont un problème de 10 millions de dollars ou à 100 millions, et encore moins si ils doivent investir dans la défense contre les logiciels malveillants ou dans la protection des emails. En conséquence, les entreprises continuent d’ignorer les actions qui doivent être misent en place de façon prioritaire et se contentent d’une cybersécurité insuffisante.

Sergio ajoute que la présentation Slideshare sur Le coût réel de l’ignorance de la sécurité des réseaux montre que les PMEs et ETIs s’exposent à des coûts directs comme, en moyenne :

– 500 000 $ de défense juridique.
– 1 000 000 $ de règlement juridique.
– 700 000 $ de pertes de données.

De plus, il y a aussi les coûts intangibles de la perte de valeur de la marque et de la valeur d’entreprise suite à un piratage.

Mais ce n’est pas tout. Voici 3 coûts supplémentaires que les dirigeants doivent gérer.

 

Q1. Et si votre entreprise perdait 20% de sa valeur en bourse ?

Vous avez probablement récemment lu que Yahoo a signalé une faille de sécurité qui a permis à quelques 500 millions d’utilisateurs de voir leurs emails, mots de passe et autres données personnelles compromis.

Avant cette révélation, Yahoo était en train d’être rachetées par Verizon pour un montant de 4.8m $ … mais à la suite du piratage, Verizon vient de réduire son offre de plus 1 milliard $ (voir le lien d’Investor.com ci-dessous).

Donc, la première question pour les dirigeants est de se pencher sur l’impact d’une cyber-attaque sur la capitalisation boursière de leur entreprise.

 

Q2. Et si une cyber-attaque vous coûtait 2.5% de votre base clients ?

Au moment du piratage de TalkTalk hack au Royaume-Uni (22 octobre 2015), le Financial Times (lien ci-dessous) rapportait que le fournisseur de télécommunications avait « … mis en garde ses 4 millions de clients que des renseignements personnels ont été volés suite à une durable et significative cyber-attaque. »

Un peu plus de deux mois plus tard (2 février 2016), The Daily Telegraph (lien ci-dessous) a révélé que TalkTalk avait perdu 101.000 clients à la suite de cette cyber-attaque. C’est d’environ 2,5% de sa base de clients.

Pas étonnant que The Daily Telegraph a également cité le patron de TalkTalk, Dido Harding, en disant: « (La) dure vérité est qu’aucune entreprise ne peut dire qu’elle en fait assez pour protéger la sécurité de ses systèmes. »

 

Q3. Et si une cyber-attaque vous coûtait 6.25% de votre trésorerie ?

La Banque du Bangladesh (voir Reuters lien ci-dessous) a été piratée pour 80 millions de dollars. Cependant, seule une faute d’orthographe a empêché les cybercriminels d’obtenir près de 1 milliard de dollars.

La Banque centrale du Bangladesh (lien ci-dessous, de 29 septembre 2016) déclarent avoir en « numéraire et dépôts » 16,5 milliards $. Donc, si les pirates n’avaient pas fait cette erreur typographique, ils auraient pu impunément dérober bien plus que les 6,25% des dépôts de la banque qu’ils ont réussi à voler.

Le porte-parole de la Banque du Bangladesh Subhankar Saha a déclaré: « Il pourrait y avoir eu une défaillance du système SWIFT. Deux ingénieurs (SWIFT) sont venus et ont visité la banque après le hold-up et ont suggéré de mettre à niveau le système. » Le site Web Trends Digital (lien ci-dessous) a suggéré que la banque avait fait des économies en utilisant des commutateurs à 10 dollars.

 

Comparons maintenant le coût potentiel d’une cyber-attaque avec le coût d’un audit KRI.

En prenant en compte tous les coûts directs et indirects liés à une cyber-attaque, et en se basant sur les exemples précédents, le coût d’un piratage peut s’élever à plusieurs dizaines de millions de dollars.

Alors que pour le coût d’une imprimante de bureau, SecludIT peut fournir à votre entreprise un rapport détaillé avec des indicateurs clés de risque cybersécurité à destination du RSSI et des dirigeants.

Cette analyse appréciée par nos clients scanne le réseau sur une base de plus de 60 000 vulnérabilités connues. En plus du rapport destiné à la direction, nous nous donnons également une liste de correctifs par ordre de priorité – avec des conseils d’assainissement – pour l’équipe IT. Le rapport KRI est basé sur les normes définies par trois organismes de sécurité informatique :

1. OWASP – Standards de sécurité globaux.
2. ANSSI – Sécurisation des échanges en Europe.
3. PCI-DSS – Standards de paiement e-Commerce.

Nos experts sécurité vous aideront à lancer un scan KRI sur votre réseau Cloud, physique ou hybride. Elastic Detector de SecludIT a exécuté, en toute sécurité, des millions de scans pour nos clients à travers le monde. Notre technologie est faible en surcharge, donc ne provoque pas de perturbations et l’utilisateur n’a pas d’impact sur la réactivité ou les fonctionnalités de son réseau. Vous verrez les premiers résultats concrets dans la matinée.

 

Sources sur le coût d’une cyber-attaque.

SecludIT Slideshare presentation.
The real cost of ignoring network security.
http://www.slideshare.net/SecludIT/cost-of-ignoring-network-security

Harvard Business Review.
Can You Put a Dollar Amount on Your Company’s Cyber Risk?
https://hbr.org/2016/10/can-you-put-a-dollar-amount-on-your-companys-cyber-risk

Investor.com
Verizon Seeking $1 Billion Yahoo Price Cut; Will Yahoo Investors Care?
http://www.investors.com/news/technology/verizon-said-to-want-1-billion-yahoo-price-cut-will-yahoo-investors-care/

The Financial Times.
TalkTalk warns 4m customers after cyber attack.
https://www.ft.com/content/29d7b000-7902-11e5-8564-b4bb9a521c63

The Daily Telegraph.
TalkTalk loses 101,000 customers after hack.
http://www.telegraph.co.uk/technology/2016/02/02/talktalk-loses-101000-customers-after-hack/

Reuters.
How a hacker’s typo helped stop a billion dollar bank heist.
http://www.reuters.com/article/us-usa-fed-bangladesh-typo-insight-idUSKCN0WC0TC

Central Bank of Bangladesh.
Official reserve assets.
https://www.bb.org.bd/econdata/or_assets.php

Digital Trends.
$10 switches cost Bangladesh’s central bank $81 million.
http://www.digitaltrends.com/computing/bangladesh-bank-heist/

Leave a Reply