Économie
L’impact des cyberattaques sur l’économie : un phénomène inquiétant et difficile à évaluer
Les cyberattaques contre les entreprises ou les institutions publiques font désormais partie des nouvelles habituelles. Commençons par l’un des exemples les plus marquants en 2022 : l’hôpital de Corbeil-Essonnes est victime d’un « rançongiciel ». Le mot est désormais dans le Robert et désigne un programme malveillant qui bloque l’accès aux données stockées sur un ordinateur et ne les déverrouille que contre le versement d’une rançon. En l’occurrence, un groupe de pirates russophones demandait 10 millions d’euros pour débloquer les ordinateurs de l’hôpital, et donc aussi l’imagerie médicale. En parallèle, il diffusait des données personnelles des patients sur le darknet …
Il semble évident que ce genre d'incidents se banalise, mais lorsqu'il s'agit d'en mesurer la fréquence et le coût, on se heurte à une foule de statistiques disparates et parfois peu crédibles. Le colonel Gérald Vernez, responsable de 2015 à 2021 de la cybersécurité de l’armée suisse et directeur aujourd’hui de digiVolution, une fondation dont le but est d’aider les entreprises dans ce domaine, confirme qu’effectivement il y a, à l’heure de l’analyse, une immense zone grise.
Qu’est-ce qu’une cyberattaque ? Même cela n’est pas clair. Si nous considérons qu’un « ping » provenant d’un serveur malveillant — c’est-à-dire un appel à notre adresse IP — en est une, une entreprise en subit sans doute des milliers par jour. S’il s’agit de tentatives de « phishing » par mail — c’est d’après certaines statistiques la manière la plus courante de pirater un ordinateur — même les privés en reçoivent généralement plusieurs par année. Dans ce cas, il s’agit de mails qui nous invitent à cliquer sur un lien en promesse d’un cadeau ou d’un renseignement, comme le suivi d’un colis fictif. C’est pourquoi la plupart des statistiques se bornent à répertorier les attaques « sérieuses » sans que l’on sache exactement ce que cela veut dire.
Le nombre de cas, même « sérieux », est difficile à évaluer : certaines entreprises ont intérêt à cacher leurs déboires. Selon la police vaudoise en Suisse, seuls environ 10 % de ce type de délits lui seraient annoncés. Tandis que ceux qui sont dans la cybersécurité auront tendance à grossir les chiffres pour justifier leur gagne-pain. A cela s’ajoute la disparité dans la manière d’évaluer les pertes financières : doit-on prendre en compte seulement la rançon à payer — si rançon il y a, car le but peut être également l'espionnage ou le blocage d'un service — ou aussi le manque à gagner provenant des heures supplémentaires, les pertes de clients, etc. ? C’est ainsi que certains vont jusqu'à prétendre que ce genre d’attaque aurait coûté 203 milliards d’euros à l’économie allemande en 2021, ce qui représente 5,6 % du PIB du pays, mais le chiffre est à l'évidence extravagant !
Il est bien difficile d’obtenir des chiffres fiables. L'étude de la compagnie d’assurance Hiscox, qui publie un rapport annuel très bien conçu et détaillé dans ce domaine, apporte cependant un peu de lumière. On y découvre, par exemple, qu’en 2022, 19 % des entreprises françaises auraient été victimes d’un rançongiciel, que 62 % d’entre elles auraient payé et qu’une cyberattaque leur aurait coûté en moyenne 17 000 dollars.
La bonne nouvelle, malgré ces zones d'ombre, est qu'il est possible de se prémunir contre la plupart de ces attaques. Mais, il faut, pour cela, adapter nos mentalités. Gérald Vernez compare l’usage d’Internet à la conduite d’une voiture. De même que la conduite comprend des risques que l’on peut diminuer fortement en observant certaines règles, de même en est-il pour notre conduite sur le Web : quelques règles permettent de diminuer considérablement les risques.
Huit mesures sont conseillées :
1. Avoir ses systèmes et ses sauvegardes à jour.
2. Eviter les connexions suspectes : liens ou appareils inconnus (clef USB trouvée par exemple) ou à des wifi inconnus.
3. Créer des mots de passe forts (c’est-à-dire en pratique avec plus de 20 caractères).
4. N’activer que les liens ou n’ouvrir que les annexes sûrs.
5. Désactiver tous les services de traçage quand ils ne sont pas nécessaires.
6. Savoir ce qui est confidentiel et accessible et à qui.
7. Exiger de son entourage qu’il applique ces mêmes règles.
8. En cas d’incident, agir tout de suite : se déconnecter, tenter de préserver les données et annoncer le cas.
Ces dernières années, les attaques n’ont cessé d’augmenter. 3% de plus en France entre 2021 et 2022 selon Hiscox. Avec en plus la guerre en Ukraine, il y a désormais souvent des intérêts stratégiques, et non simplement lucratifs, à cibler certains pays occidentaux. Il est temps de sortir de notre angélisme pour inverser la tendance, car, quels que soient les chiffres réels, un homme averti en vaut deux et quelques pratiques relativement peu coûteuses peuvent nous permettre d’éviter de gros soucis.
Il semble évident que ce genre d'incidents se banalise, mais lorsqu'il s'agit d'en mesurer la fréquence et le coût, on se heurte à une foule de statistiques disparates et parfois peu crédibles. Le colonel Gérald Vernez, responsable de 2015 à 2021 de la cybersécurité de l’armée suisse et directeur aujourd’hui de digiVolution, une fondation dont le but est d’aider les entreprises dans ce domaine, confirme qu’effectivement il y a, à l’heure de l’analyse, une immense zone grise.
Qu’est-ce qu’une cyberattaque ? Même cela n’est pas clair. Si nous considérons qu’un « ping » provenant d’un serveur malveillant — c’est-à-dire un appel à notre adresse IP — en est une, une entreprise en subit sans doute des milliers par jour. S’il s’agit de tentatives de « phishing » par mail — c’est d’après certaines statistiques la manière la plus courante de pirater un ordinateur — même les privés en reçoivent généralement plusieurs par année. Dans ce cas, il s’agit de mails qui nous invitent à cliquer sur un lien en promesse d’un cadeau ou d’un renseignement, comme le suivi d’un colis fictif. C’est pourquoi la plupart des statistiques se bornent à répertorier les attaques « sérieuses » sans que l’on sache exactement ce que cela veut dire.
Le nombre de cas, même « sérieux », est difficile à évaluer : certaines entreprises ont intérêt à cacher leurs déboires. Selon la police vaudoise en Suisse, seuls environ 10 % de ce type de délits lui seraient annoncés. Tandis que ceux qui sont dans la cybersécurité auront tendance à grossir les chiffres pour justifier leur gagne-pain. A cela s’ajoute la disparité dans la manière d’évaluer les pertes financières : doit-on prendre en compte seulement la rançon à payer — si rançon il y a, car le but peut être également l'espionnage ou le blocage d'un service — ou aussi le manque à gagner provenant des heures supplémentaires, les pertes de clients, etc. ? C’est ainsi que certains vont jusqu'à prétendre que ce genre d’attaque aurait coûté 203 milliards d’euros à l’économie allemande en 2021, ce qui représente 5,6 % du PIB du pays, mais le chiffre est à l'évidence extravagant !
Il est bien difficile d’obtenir des chiffres fiables. L'étude de la compagnie d’assurance Hiscox, qui publie un rapport annuel très bien conçu et détaillé dans ce domaine, apporte cependant un peu de lumière. On y découvre, par exemple, qu’en 2022, 19 % des entreprises françaises auraient été victimes d’un rançongiciel, que 62 % d’entre elles auraient payé et qu’une cyberattaque leur aurait coûté en moyenne 17 000 dollars.
La bonne nouvelle, malgré ces zones d'ombre, est qu'il est possible de se prémunir contre la plupart de ces attaques. Mais, il faut, pour cela, adapter nos mentalités. Gérald Vernez compare l’usage d’Internet à la conduite d’une voiture. De même que la conduite comprend des risques que l’on peut diminuer fortement en observant certaines règles, de même en est-il pour notre conduite sur le Web : quelques règles permettent de diminuer considérablement les risques.
Huit mesures sont conseillées :
1. Avoir ses systèmes et ses sauvegardes à jour.
2. Eviter les connexions suspectes : liens ou appareils inconnus (clef USB trouvée par exemple) ou à des wifi inconnus.
3. Créer des mots de passe forts (c’est-à-dire en pratique avec plus de 20 caractères).
4. N’activer que les liens ou n’ouvrir que les annexes sûrs.
5. Désactiver tous les services de traçage quand ils ne sont pas nécessaires.
6. Savoir ce qui est confidentiel et accessible et à qui.
7. Exiger de son entourage qu’il applique ces mêmes règles.
8. En cas d’incident, agir tout de suite : se déconnecter, tenter de préserver les données et annoncer le cas.
Ces dernières années, les attaques n’ont cessé d’augmenter. 3% de plus en France entre 2021 et 2022 selon Hiscox. Avec en plus la guerre en Ukraine, il y a désormais souvent des intérêts stratégiques, et non simplement lucratifs, à cibler certains pays occidentaux. Il est temps de sortir de notre angélisme pour inverser la tendance, car, quels que soient les chiffres réels, un homme averti en vaut deux et quelques pratiques relativement peu coûteuses peuvent nous permettre d’éviter de gros soucis.
La sélection
Cyber Readiness Report 2022
YouTube