14 août 2024

Régis Desmeules

Les coûts d’un incident de cybersécurité en PME

Article commandité
Cet article est commandité par le Groupe Cyberswat : https://www.cyberswat.ca/.

Introduction aux incidents de cybersécurité

Les petites et moyennes entreprises (PME) ne doivent plus se demander si, un jour, elles seront victimes d’un incident de cybersécurité. Elles doivent plutôt s’interroger sur le moment où un tel incident à impacts majeurs surviendra dans l’entreprise.

Les médias mentionnent régulièrement que le coût moyen d’un incident de cybersécurité causant des brèches de sécurité et des violations de données est de l’ordre de plusieurs millions de dollars. La dernière étude d’IBM de 2023 mentionne un coût moyen d’environ 7 millions de dollars canadiens.

Toutefois, ces chiffres mondiaux sont valables pour les grandes entreprises, et ne veulent rien dire pour les dirigeants des PME; il faut pourtant sensibiliser ceux-ci aux coûts potentiels et aux impacts financiers liés aux incidents de cybersécurité. D’ailleurs, les coûts de certains incidents majeurs sont si importants que des PME qui en sont victimes ont beaucoup de difficultés à s’en remettre.

L’objectif de cet article est de présenter les types de dépenses associées à un incident de cybersécurité ainsi qu’une estimation des coûts à haut niveau engendrés par un incident de cybersécurité à impacts majeurs survenant dans une PME. Les estimations présentées sont basées sur des moyennes observées au Québec ou au Canada au cours de cas réels d’incidents de cybersécurité.

Les cybermenaces en PME

Il existe d’innombrables menaces pouvant causer un incident de cybersécurité dans une PME. Par la lecture des journaux, on constate que les plus courantes sont :

les vulnérabilités logicielles associées à des logiciels périmés ou qui n’ont pas été mis à jour;
les attaques par hameçonnage;
les attaques de rançongiciels;
la faible qualité des stratégies de mots de passe et d’accès;
les intrusions dans l’environnement informatique;
les erreurs humaines dues à l’absence de formation et de sensibilisation; et
les mauvaises configurations de systèmes.

Il en existe même plusieurs autres.

Les types de dépenses liées à un incident de cybersécurité

À partir du moment où un incident de cybersécurité est découvert, une gestion de crise se met en branle et la situation va engendrer plusieurs types de dépenses, de coûts et d’impacts financiers.

Les coûts directs

nouvelles dépenses à assumer en urgence lorsque l’incident survient;
coûts liés aux spécialistes en TI internes et externes en temps supplémentaire les soirs et fins de semaine;
spécialistes en cybersécurité externes;
enquêteur en forensique;
acquisitions d’équipements, de logiciels et de licences en urgence pour remplacer ou ajouter des contrôles absents; et
les coûts administratifs en temps supplémentaire en lien avec la gestion de la crise, qui ne doivent pas être négligés.

Les coûts indirects

pertes de productivité consécutives à des pannes informatiques partielles ou totales;
plusieurs dizaines d’employés incapables de travailler sur leurs ordinateurs durant plusieurs jours;
support aux clients et à l’interne débordé;
frais juridiques et de communication pour gérer la crise; et
certains employés doivent souvent retourner vers du traitement manuel lorsque c’est praticable, ce qui cause un effondrement de la productivité.

Les coûts cachés

D’autres coûts très difficiles à évaluer peuvent causer de sérieux préjudices à terme. Ces coûts sont les conséquences des impacts liés à la perturbation et à l’arrêt d’activités d’affaires :

rupture dans la réception et le traitement de commandes de clients;
délais de fabrication et/ou de livraison générant des pénalités financières si des chaînes de production sont touchées;
dépréciation de la marque de la PME;
non-renouvellement de contrats; et
perte de confiance des clients.

Il existe plusieurs autres coûts cachés.

Étude de cas : une attaque de rançongiciel

Pour illustrer l’ampleur des coûts que peut représenter un incident de cybersécurité dans une PME, prenons l’exemple d’une attaque par un rançongiciel. Ce type d’attaque représente jusqu’à 20 % des types d’incidents répertoriés en entreprises.

Qu’est-ce qu’un rançongiciel?

Un rançongiciel est un logiciel malicieux au service de cybercriminels pratiquant l’extorsion. Il possède ces caractéristiques :

il chiffre les fichiers locaux de l’ordinateur mais également tous les autres fichiers qui lui sont accessibles via le réseau, sans oublier ceux qui sont conservés dans les dépôts de fichiers (Sharepoint, One Drive, serveurs de fichiers, copies de sauvegarde, etc.);
une fois les fichiers chiffrés sur un à plusieurs systèmes informatiques, le fonctionnement normal de plusieurs logiciels, fichiers et procédés est altéré, causant la paralysie partielle à totale de l’environnement informatique;
au final, ce logiciel malveillant a pour conséquence une rançon de quelques dizaines à quelques centaines de milliers de dollars, payables en cryptomonnaie dans un délai assez court afin d’obtenir la clé pour récupérer tous les fichiers.

Le rançongiciel peut pénétrer dans l’environnement informatique d’une PME de différentes façons. Il existe plusieurs « portes » lui permettant de s’installer et de faire ses dommages. Voici quelques exemples, sans se limiter à ces cas :

N^o 1 – Un employé reçoit un courriel semblant anodin. Il clique sur le lien ou télécharge la pièce jointe. Comme le rançongiciel est trop récent et que le logiciel antivirus ne le détecte pas, il s’installe.	N^o 2 – Un employé navigue sur Internet et arrive par hasard sur un site Web malveillant qui détecte une vulnérabilité exploitable sur le navigateur Internet du poste de l’employé. Le site malveillant force l’installation du rançongiciel à l’insu de l’employé.
N^o 3 – L’environnement informatique de la PME est raccordé à Internet, mais certains systèmes exposés présentent des failles techniques ou de mauvaises configurations. Un réseau zombie (communément appelé botnet) découvre les failles, pénètre le réseau de la PME et y installe le logiciel malveillant sur plusieurs systèmes informatiques.	N^o 4 – Un employé utilise Facebook sur son ordinateur de travail et il télécharge un fichier réputé anodin à partir d’une publication ou qu’un ami lui a transmis via Messenger. Malheureusement, le logiciel malveillant se cache dans le fichier anodin et il s’installe sur le poste.

Impacts et coûts d’une attaque de rançongiciel

En moyenne, une crise consécutive à une attaque de rançongiciel perdure entre 5 à 30 jours. Durant cette période, l’environnement informatique de la PME peut demeurer paralysé tant et aussi longtemps que tous les systèmes informatiques potentiellement infectés ne sont pas réinstallés à partir des dernières copies de sûreté exemptes du logiciel malveillant.

Le tableau suivant illustre des fourchettes et ordres de grandeur de coûts s’appliquant généralement au cas d’une petite PME victime d’une attaque de rançongiciel, et dont les systèmes informatiques sont cruciaux pour ses activités d’affaires et ses opérations. Les coûts varient en fonction de la gravité et de l’agressivité du logiciel malveillant.

Coûts	Estimations
Experts en TI externes	5 000 $ à 30 000 $
Experts en TI internes – temps supplémentaire	5 000 $ à 20 000 $
Experts en cybersécurité	5 000 $ à 20 000 $
Enquêteur forensique	5 000 $ à 15 000 $
Achat de logiciels, de matériel, ou de licences en urgence	10 000 $ à plus de 100 000 $
Gestion de crise – firme en communications	5 000 $ à 10 000 $
Gestion de crise – firme juridique externe	15 000 $ à 40 000 $
Gestion de crise – temps supplémentaire	10 000 $ à 50 000 $
Congés forcés des employés (5 jours et plus)	Coûts cachés
Support à la clientèle submergé d’appels	Coûts cachés
Rupture dans la réception des commandes	Coûts cachés
Pénalités résultant des contrats – délais de fabrication ou de livraison	Coûts cachés
Dommages à la réputation	Coûts cachés
Envergure total des coûts de l’incident	60 000 $ à 285 000 $

Tableau 1 – Estimation des coûts d’un incident de cybersécurité

Un lecteur averti notera que le coût de la rançon demandée par les cybercriminels n’est pas indiqué dans le tableau. L’hypothèse se base sur un recouvrement à partir des copies de sûreté saines, immuables et non-altérées par le logiciel malveillant.

Malgré le non-paiement d’une rançon et sans compter les coûts cachés, le coût global dans cet exemple peut facilement osciller entre 60 000 $ et 285 000 $ pour la PME. C’est énormément d’argent pour une petite entreprise.

Bénéfices de la cybersécurité pour contrer les incidents

Les coûts d’incidents peuvent s’avérer dévastateurs pour une petite PME dont les affaires sont très dépendantes de l’informatique. Pour atténuer les risques qu’un incident survienne et, surtout, pour en limiter les coûts, il est fondamental d’avoir recours à la cybersécurité.

La cybersécurité est le moyen le plus puissant pour doter la PME d’une cyber résilience afin de demeurer en activité malgré les risques de pannes liées à des cyberattaques. La cybersécurité fournit également un bouclier pour atténuer, voire bloquer complètement, les attaques cybernétiques et les incidents pouvant se transformer en pannes, ruptures et bris de service. Enfin, à travers ses solutions, services, politiques, processus et contrôles, la cybersécurité permet d’atténuer les pertes d’argent et les dommages résultant des incidents.

Cybersécurité : par quoi commencer?

En cybersécurité, il existe d’innombrables possibilités pour améliorer sa posture mais, généralement, le budget pour la cybersécurité en PME est très maigre, voire inexistant. Chez Groupe Cyberswat, nous recommandons généralement aux clients de PME moins matures en cybersécurité cinq (5) stratégies à prioriser afin de mettre en place un minimum de cybersécurité :

Si votre PME compte moins de 50 employés, commencez par vous doter d’un budget en cybersécurité. Consultez pour vous faire aider à évaluer un premier budget. Souvent, le premier budget est élevé en raison du rattrapage à faire.
Faites réaliser un état des lieux ou un diagnostic général de cybersécurité afin d’identifier à haut niveau les faiblesses et d’établir un premier plan ou programme de cybersécurité pour la PME. C’est une action concrète à peu de frais pour vous aider à budgéter votre cybersécurité la première fois.
Lancez un programme de sensibilisation à la cybersécurité pour tous vos employés. C’est souvent le dollar en cybersécurité le mieux investi, car une large proportion des incidents en PME est causée par des mauvais comportements humains.
Dotez-vous d’une politique de sécurité, de directives de sécurité et d’un plan de réaction en cas d’incident de cybersécurité.
Faites réaliser des tests d’intrusion sur vos actifs, applications et systèmes les plus critiques pour les affaires de la PME avant que les failles ne soient découvertes et exploitées par des personnes malveillantes.

La cyberdéfense de PlanetHoster : une solution à portée de main!

Si votre entreprise n’a pas souscrit au service de cyberdéfense réseau de PlanetHoster, il serait une bonne chose d’y adhérer. Ce service spécialisé en cybersécurité permet de détecter automatiquement et de bloquer les attaques de trafic malveillant de type déni de service (DDoS) vers votre réseau d’entreprise. Ce type d’attaque consiste à saturer votre raccordement Internet, ce qui génère un incident de cybersécurité dans votre entreprise. Cette protection offerte exclusivement aux clients de Planethoster permet d’assurer la continuité de vos opérations, de votre connectivité Internet et d’éviter des interruptions pouvant entraîner des pertes de revenus. Contactez votre représentant PlanetHoster pour en apprendre plus sur cette solution.

En conclusion

Les coûts d’un incident de cybersécurité peuvent être catastrophiques pour les PME, avec des frais variants de 60 000 à 285 000 dollars, sans mentionner les impacts durables sur leurs activités. Investir dans une cybersécurité proactive est crucial pour minimiser les risques financiers et opérationnels liés à ces incidents.

A propos de l’auteur de cet article

Régis Desmeules est un entrepreneur en série en cybersécurité, consultant en cybersécurité depuis 1998 et associé chez Groupe Cyberswat, une firme de cybersécurité au Québec.

Pour toute question ou clarification en lien avec cet article, n’hésitez pas à le contacter pour plus d’informations ou pour obtenir une proposition pour des services en cybersécurité.

Merci à l’avance pour vos commentaires.

Point de contact : Régis Desmeules	Courriel : rdesmeules@cyberswat.ca
Groupe Cyberswat	https://www.cyberswat.ca
Linkedin	https://www.linkedin.com/in/regisdesmeules/

À propos de Cyberswat

Cyberswat est un fournisseur de services en cybersécurité en mesure de vous aider à protéger les données de votre entreprise et de vos clients. En faisant affaire avec Cyberswat, une relation de partenaires vous est offerte. Cyberswat est là pour vous accompagner dans la mise en place de mesures de sécurité pour que vous puissiez vous concentrer sur vos activités.

Article commandité
Cet article est commandité par le Groupe Cyberswat : https://www.cyberswat.ca/.

Laissez un commentaire