Cette étude de la Lloyds sur l’état des risques positionne les cyber-risques au troisième rang de leur Risk Index. Elle pointe la sous-estimation globale de leurs impacts ainsi qu’une forte croissance liée à l’évolution de la motivation des attaquants, du profit à l’idéologie.
A noter que l’Europe semble en retard sur cette appréciation…
Voici les informations à retenir :
"Compte tenu de la fréquence bien documentée de cyber-infractions, l'importance relativement faible accordée aux risques cybernétiques à la fois dans les indices de risque de 2009 et 2011 suggère que de trop nombreuses entreprises sous-estimaient son impact.
Ce n'est plus le cas. Le cyber risque s'est déplacé de la position 12 (malveillant) et 19 (non malveillant) en 2011 et est devenu le risque mondial numéro trois. Qu'est-ce qui a provoqué ce changement? Un développement possible, c'est que la perception de ce qui motive les cyber-attaques évolue: de la criminalité financière aux attaques politiques et idéologiques. 2012 a vu le retrait des sites de l'Interpol, de la CIA et de Boeing, la suspension de la salle de marchés de la société de monnaie alternative Bitcoin, le vol massif de mots de passe du site de réseautage professionel LinkedIn et la panne des sites de six grandes banques américaines et de beaucoup d'autres.
Le nombre d'incidents attribués au piratage et aux attaques de vengeance par des réseaux «hacktivistes» parrainés par des gouvernements est en croissance. Cela en va de même pour les coûts des infractions informatiques. Une étude de 2012 du Ponemon Institute a révélé que la moyenne de coût annualisé de 56 organisations étalonnées était de 8,9 millions de dollars par an, en hausse de 8,4 millions de dollars en 2011, pouvant aller de 1,4 million de dollars jusqu'à la somme astronomique de 46 millions de dollars par an et par entreprise. Les cybercrimes les plus coûteuses impliquaient du code malveillant, du déni de service et des attaques basées sur le Web.
Il semble que les entreprises à travers le monde se sont heurtées à une sorte d'évaluation de la réalité sur leur degré de risque informatique. Leur sens d'état de préparation pour faire face à la gravité du risque, cependant, apparaît toujours remarquablement complaisant. Contre toutes les preuves de ces deux dernières années, les entreprises croient qu'elles sont un peu plus capables de faire face au risque, avec un score global de préparation de 5,9, contre la priorité donnée au risque en lui-même, évaluée à 5,7. En 2011, les Etats-Unis ont été la seule région du monde où la cyber-menace est entrée dans le top cinq; en 2013, ce type de menace est désormais le numéro deux de la région. Et pourtant, les entreprises américaines marquent toujours leur préparation (à 5,4) à un taux plus élevé que le risque lui-même (à 5,1).
La Commissaire pour l'Agenda Numérique de l'Union européenne, Neelie Kroes, a fait remarquer: "La cybersécurité est trop importante pour être laissée au hasard, à la bonne volonté des entreprises individuelles", et de nombreux gouvernements ont fait progresser la question au cours des deux dernières années. En mai 2013, des sénateurs républicains et démocrates se sont unis dans un rare accord pour proposer le "Deter Cyber Theft Act", pour arrêter le vol des données commerciales de valeur des sociétés américaines par des sociétés des gouvernements étrangers. La Commission européenne, entretemps, étudie des propositions pour s'assurer que les entreprises qui stockent des données sur Internet signalent la perte ou le vol d'informations personnelles, sous peine de sanctions.
Et pourtant, en termes de fréquence de l'événement, la plupart des entreprises seraient bien avisées d'aller regarder plus près de chez elles pour les solutions. Selon un rapport publié en avril 2013 par l'Institut d'Information des Assurances, de la négligence de l'employé est responsable de 39% des violations de données, les anomalies du système en sont de 24% et les attaques malveillantes ou criminelles seulement de 37%. Cela laisse près des deux tiers des incidents provoqués par des soucis qui devraient raisonnablement être sous le contrôle d'une entreprise.
Comme en 2011, nous devons à nouveau nous demander si, en dépit de leur investissement croissant en cyber-sécurité, les entreprises dépensent-elles de l'argent sur les bonnes choses? Des cyber spécialistes d'assurances offrent des produits informatiques de plus en plus intégrés, y compris ceux qui fournissent une couverture des frais de données en cas de violation, de l'analyse médico-légale et des services de relations publiques de crise dans un seul paquet. Bien que ces produits sont très efficaces en cas d'urgence, l'investissement en avance sur la gestion des risques - et la vérification que les recommandations sont mises en œuvre dans l'ensemble l'entreprise - pourrait beaucoup faire pour prévenir la catastrophe avant qu'elle ne commence."
Et pour plus de détails, l’étude in extenso ici :
[Source: Helloblog.fr, 17 juillet 2013]