Blog

Le véritable coût d'une cyberattaque

Calculer le véritable coût d'une cyberattaque est difficile. Aucune n'est identique. Pourtant, nous rapportons cela avec autant de détails que possible pour représenter fidèlement l'image complète de ce qui se passe lorsque cela arrive à votre entreprise.

Aug 12, 2024 • 10 min read

Simon Wijckmans Founder & CEO

Calculer le véritable coût d'une cyberattaque est difficile. Aucune n'est identique, et les entreprises réagissent différemment. Pourtant, il est important de rapporter cela avec autant de détails que possible pour représenter fidèlement l'image complète de ce qui se passe lorsque cela arrive à votre entreprise.

Subir une attaque s'accompagne généralement de conséquences très importantes. Prendre des mesures préventives doit être une priorité pour toute entreprise qui mène des activités et possède des données en ligne.

Coûts financiers

La raison la plus évidente pour laquelle une entreprise s'inquiète des cyberattaques est probablement les coûts financiers qu'elles entraînent. Nous examinerons cela aussi en détail que possible, en commençant par les coûts directs.

Amendes et frais juridiques

Les frais juridiques et les amendes viennent d'abord à l'esprit. Les réglementations comme le RGPD, HIPAA, PCI DSS sont le plus souvent violées, avec des amendes importantes en conséquence.

En 2018, British Airways a reçu une amende de 183 millions de livres sterling, réduite par la suite à 20 millions de livres sterling. Lisez l'histoire complète ici. Et très récemment, Kaiser Permanente a violé les règles HIPAA, ce que nous avons rapporté ici. Dans ces deux cas, les données des utilisateurs ont été exfiltrées via le côté client, ce qui aurait pu être détecté et empêché.

Mais Meta mène actuellement le peloton en matière d'amende record. En mai 2023, le DPC irlandais a infligé à Meta Ireland une amende de 1,2 milliard d'euros pour violation du RGPD. La sanction concerne les transferts de données de l'UE/EEE vers les États-Unis sans garanties de confidentialité suffisantes.

Titre concernant l'amende RGPD de 1,2 milliard d'euros infligée par la DPC à Meta Ireland

Perte de revenus

Les temps d'arrêt pendant une attaque peuvent paralyser les opérations commerciales, entraînant des pertes de revenus importantes. Le rapport IBM sur le coût d'une violation de données 2023 a révélé que le coût moyen d'une violation de données est de 4,45 millions de dollars, la perte d'activité représentant la plus grande part de ce coût.

Ce chiffre augmente de quelques centaines de milliers chaque année, et ce n'est que la moyenne.

Dans l'attaque Polyfill récente, Google a cessé de diffuser des publicités sur les sites Web contenant le script malveillant. Cela a mis la pression sur les propriétaires de sites en supprimant leurs revenus publicitaires afin de les forcer à retirer les scripts.

Google envoie maintenant un avertissement concernant le chargement de JS tiers depuis des domaines comme polyfill.io bootcss.com bootcdn.net & staticfile.org qui peuvent faire des choses désagréables à vos utilisateurs si votre site utilise du JS provenant de ces domaines.

pic.twitter.com/EUVAgbFXJn

— Michal Špaček (@spazef0rze)

25 juin 2024

Inutile de dire que c'était une excellente réaction de la part de Google. Mais cela a également endommagé les revenus publicitaires du site jusqu'à ce qu'ils prennent des mesures, ce qui est un coût qu'ils ont subi.

Indemnisation des clients

Lorsque les clients sont impactés, ils intentent souvent à juste titre des poursuites pour obtenir une indemnisation. En 2019, Equifax a accepté un règlement de près de 700 millions de dollars pour les enquêtes fédérales et étatiques sur une violation affectant environ 150 millions de personnes, avec 425 millions de dollars du règlement allant directement aux consommateurs impactés.

Dommages à la réputation

La réputation est un actif inestimable, et une cyberattaque endommage gravement la confiance. La couverture médiatique négative exerce une pression supplémentaire sur les entreprises qui traversent une attaque et ses conséquences. Même si Marriott a enregistré des bénéfices en 2018, il est juste de supposer qu'ils ont reçu quelques réservations de moins après leur violation de données de 2018 qui a affecté 500 millions de clients.

Ou rappelez-vous quand Yahoo a divulgué deux violations importantes et leur prix d'acquisition a été réduit de 350 millions de dollars.

Nous ne considérons souvent que l'impact immédiat, mais il y a aussi un impact à long terme. Les calculer est presque impossible, mais le scandale Cambridge Analytica de 2018 sert d'exemple parfait.

Les retombées de ce scandale ont été massives et ont fait la une des chaînes d'information du monde entier pendant des semaines. Cambridge Analytica a ensuite annoncé qu'elle cesserait toutes ses opérations en raison des dommages à la réputation si graves qu'ils ont chassé pratiquement tous ses clients et fournisseurs.

Citation de presse au sujet de la cessation d'activité de Cambridge Analytica après l'atteinte à sa réputation

Perturbation opérationnelle

Les temps d'arrêt sont un autre résultat immédiat d'une cyberattaque. L'attaque par ransomware contre Norsk Hydro en 2019 a entraîné un coût estimé de perturbation opérationnelle de 71 millions de dollars la première semaine seulement. Dans cet exemple, 35 000 employés ont vu leurs fichiers, serveurs et PC verrouillés. Les équipes informatiques et de sécurité doivent changer de priorité et répondre à la violation, retardant d'autres projets. Souvent, des équipes externes sont sollicitées pour aider à résoudre le problème, ce qui fait encore augmenter les coûts.

Paiement de la rançon

Dans ce même exemple de Norsk Hydro, les attaquants ont laissé une note disant :

"Le prix final dépend de la rapidité avec laquelle vous nous contactez." et ont demandé à être payés en Bitcoin.

Note de rançon laissée par les attaquants sur les systèmes Norsk Hydro

Norsk Hydro a plutôt choisi de restaurer ses données via des serveurs de sauvegarde fiables.

Mais Travelex, un bureau de change basé à Londres, a été ciblé par le groupe de ransomware 'Sodinokibi' le soir du Nouvel An 2019. Les attaquants ont chiffré les données de Travelex et ont initialement exigé 6 millions de dollars.

Le fichier readme laissé sur leurs systèmes disait :

"C'est juste des affaires. Nous ne nous soucions absolument pas de vous ou de vos détails, sauf pour obtenir des avantages. Si nous ne faisons pas notre travail et nos responsabilités - personne ne coopérera avec nous. Ce n'est pas dans notre intérêt. Si vous ne coopérez pas avec notre service - pour nous, cela n'a pas d'importance. Mais vous perdrez votre temps et vos données, car nous seuls avons la clé privée. En pratique, le temps est beaucoup plus précieux que l'argent."

Après négociations, ils ont payé une rançon de 2,3 millions de dollars pour retrouver l'accès à leurs fichiers. Les attaquants ont donné la clé pour résoudre le chiffrement, et Travelex a repris ses opérations.

Mises à niveau technologiques et d'infrastructure

Après avoir été ciblée par le groupe de ransomware 'LockBit' en janvier 2023, Royal Mail du Royaume-Uni a fait face à de graves perturbations opérationnelles. L'attaque a particulièrement impacté leur centre de distribution mondial de Heathrow, qui traite presque tout le courrier entrant et sortant du Royaume-Uni, entraînant le chaos.

Pour remédier à l'attaque et renforcer leur sécurité, Royal Mail a dépensé environ 10 millions de livres sterling au cours des six mois suivants pour mettre à niveau leur infrastructure suite à l'attaque. Cela a été rapporté comme une augmentation annuelle de 5,6 % des coûts d'infrastructure pour l'entreprise.

Article rapportant la hausse de 5,6 % des coûts d'infrastructure de Royal Mail après l'attaque

Coûts cachés supplémentaires

Outre les coûts évidents mentionnés ci-dessus, la plupart des articles rapportant sur les coûts totaux après une attaque de cybersécurité omettent presque toujours d'inclure les éléments suivants :

Augmentation des primes d'assurance

Les primes d'assurance cyber peuvent augmenter considérablement après une attaque. Selon le rapport Cyber Insurance Seeing Influx of Newcomers as Risk Awareness Grows, 77 % des répondants au sondage ont connu des hausses de primes annuelles, largement motivées par une augmentation des réclamations liées aux violations de données et autres incidents cyber.

Non-paiement de l'assurance

Bien qu'il ne s'agisse pas d'une cyberattaque, le récent débâcle de Crowdstrike semble également causer des problèmes d'assurance importants. Ils étaient responsables de la création de nombreux dommages, mais comme il ne s'agissait pas d'une cyberattaque, les compagnies d'assurance hésitent à payer.

Si quelqu'un se demande où en est l'assurance cyber sur CrowdStrike - j'ai des amis dans 3 assureurs différents, et ils disent tous qu'ils ne couvriront pas les réclamations car elles sont en dehors de la police.— Kevin Beaumont (@GossiTheDog)

22 juillet 2024

Ces assurances ne sont pas infaillibles, laissant les entreprises avec la facture dans des cas comme celui-ci. Un procès est presque certainement en cours pour récupérer les coûts et pertes subis contre Crowdstrike.

Pertes de revenus à long terme

L'attrition des clients suite à une violation peut entraîner une baisse des revenus à long terme. Aux États-Unis, PCI Pal rapporte que 83 % des consommateurs affirment qu'ils cesseront de dépenser auprès d'une entreprise pendant plusieurs mois immédiatement après une violation de sécurité, et plus d'un cinquième (21 %) des consommateurs affirment qu'ils ne reviendront jamais à une entreprise après une violation.

Baisse du cours de l'action

Les entreprises cotées en bourse voient souvent leur cours de bourse chuter suite à une violation. En octobre 2023, Okta a divulgué une violation de données qui, couplée à la réponse tardive d'Okta, a entraîné une baisse notable de leur cours de bourse. Suite à la divulgation, le cours de l'action d'Okta a chuté de près de 12 % alors que les investisseurs réagissaient à la nouvelle et aux implications potentielles à long terme de problèmes de sécurité répétés.

Et, pour revenir à l'exemple de Crowdstrike, l'action de Crowdstrike a chuté drastiquement, effaçant des millions de valeur sur papier.

Graphique de l'action CrowdStrike montrant une forte baisse après l'incident de 2024

Relations avec les fournisseurs et partenaires

Bien que les exemples rapportés soient rares, il n'est pas difficile d'imaginer que les partenaires et fournisseurs cherchent de nouvelles opportunités lorsqu'une entreprise est attaquée.

Coûts d'opportunité

Les coûts d'opportunité surviennent lorsque les équipes doivent changer de priorité pour gérer la violation et aider à sécuriser l'entreprise après l'attaque. Cela prend du temps aux employés, et souvent des ressources supplémentaires qui pourraient entraver l'innovation et le progrès, ainsi qu'augmenter simplement les coûts mensuels des outils ajoutés.

Vol de propriété intellectuelle

En 2011, le plus gros client d'AMSC, Sinovel Wind Group, a obtenu illégalement le code source d'AMSC pour le logiciel d'éolienne. Le tribunal a enquêté sur cette question et a conclu :

"Plutôt que de payer AMSC pour plus de 800 millions de dollars de produits et services qu'elle avait accepté d'acheter, Sinovel a plutôt concocté un plan pour voler effrontément la technologie d'éolienne propriétaire d'AMSC, causant la perte de près de 700 emplois et plus d'un milliard de dollars en capitaux propres des actionnaires chez AMSC,"

Le véritable coût d'une cyberattaque

Donc, calculer le véritable coût d'une cyberattaque est difficile, car chaque incident et réponse varie. Mais il est crucial de comprendre l'image complète au-delà des pertes financières immédiates. Les répercussions d'une cyberattaque peuvent être dévastatrices, affectant non seulement les finances mais aussi la réputation, les opérations et la viabilité à long terme.

Pour avoir une idée des coûts réels, Accenture estime que le coût de la cybercriminalité dans le monde atteindra 10,5 billions de dollars en 2025. Elle a également observé une augmentation de 200 % des niveaux de perturbation dans ce domaine de 2017 à 2022.

Nous pensons qu'il est juste de dire que l'attention doit être portée à la cybersécurité au sens le plus large.

Les mesures préventives devraient être une priorité absolue pour toute entreprise. C'est pourquoi nous avons développé notre approche pour arrêter les attaques de scripts tiers 0-day. En comprenant les impacts, nous espérons que cela servira de motivation supplémentaire pour anticiper tout problème potentiel.

Ne soyez pas l'histoire, vous pouvez commencer avec cside gratuitement dès aujourd'hui.

Founder & CEO Simon Wijckmans

Founder and CEO of cside. Previously a product manager on Cloudflare Page Shield (now Cloudflare Client-Side Security). Co-chair of the W3C Anti-Fraud Community Group and a Forbes 30 Under 30 honoree. Building accessible security against client-side attacks — web security is not an enterprise-only problem.

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

Au-delà de la rançon ou de la remédiation, la facture inclut les amendes réglementaires, la reconstruction d'infrastructure, la hausse des primes d'assurance, le churn client, la perte de partenaires, le coût d'opportunité et un dommage réputationnel qui peut mettre des années à s'absorber.

Oui. Les dépenses d'infrastructure de Royal Mail ont augmenté de 5,6 % l'année suivant l'attaque. Meta Ireland a été condamnée à 1,2 milliard d'euros au titre du RGPD. Cambridge Analytica a totalement fermé après le séisme réputationnel. Norsk Hydro a perdu 71 millions de dollars la première semaine suivant son ransomware.

Surveillez et sécurisez vos scripts tiers

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Réserver une démonstration

Commencez gratuitement

Commencez gratuitement, ou essayez Business avec un essai de 14 jours.

cside Interface du tableau de bord affichant la surveillance des scripts et les analyses de sécurité

Couverture sombre du blog cside avec une vague de pixels bleus et une liste sur les pixels non autorisés dans les jeux et la responsabilité RGPD

GDPR et jeux d'argent en ligne : pourquoi les pixels non autorisés créent un problème de double responsabilité

Les pixels non autorisés sur les sites de jeux d'argent créent une responsabilité GDPR et des suspensions de comptes publicitaires à la fois.

Comment Bloquer Bytespider (le Crawler IA de TikTok)

Bytespider explore votre site pour les systèmes IA de Bytedance. Découvrez comment le bloquer via robots.txt et plages d'IP, et les enjeux de souveraineté des données.

Couverture sombre du blog montrant trois méthodes d'attaque de scripts malveillants : redirections déclenchées depuis le navigateur, containers GTM fantômes avec tags malveillants et payloads mobiles géociblés

Comment les scripts malveillants détournent les parcours des joueurs de casino

Des scripts injectés redirigent les joueurs de casino avant le lobby. Les outils réseau ne les voient pas. Voici comment la détection doit fonctionner.

Couverture sombre du blog cside avec une vague de pixels bleus et une liste sur la sécurité des scripts pour les opérateurs de jeux en APAC

Sécurité des scripts côté client pour les opérateurs de jeux d'argent en ligne en APAC

Comment les opérateurs de jeux d'argent APAC (Japon, Singapour, Philippines, Australie) surveillent les scripts tiers sur des sessions réelles.

Comment Bloquer Amazon Buy for Me sur Votre Site Web

Amazon Buy for Me fait ses achats sur votre site pour les membres Prime. Découvrez comment il collecte vos données de prix et de produits et comment la détection au niveau du navigateur vous redonne le contrôle.

Prévention des prises de contrôle de compte : le guide complet 2026

Le guide opérationnel ATO 2026 : un modèle de bout en bout pour défendre connexion, récupération, session et post-authentification contre les prises de contrôle pilotées par agents IA et bots.

Couverture sombre du blog cside avec une vague de pixels bleus et une liste sur les scripts affiliés compromis qui volent les revenus des casinos

Comment les scripts d'affiliation compromis volent les revenus des casinos en ligne

Les scripts d'affiliation compromis redirigent joueurs et volent commissions sur les pages de casino, silencieusement et à grande échelle.

Couverture sombre du blog montrant trois vecteurs d'attaque par extension de navigateur : redirections vers des clones de phishing, vol de token de session et réécriture des champs de paiement dans le DOM

Comment les extensions de navigateur attaquent les joueurs de casino en ligne : ce que les opérateurs peuvent faire

Les extensions de navigateur volent des tokens de session et détournent des paiements sur des sites de casino. Voici comment les détecter.

Comment Bloquer la Création de Faux Comptes Alimentée par l'IA

Les agents IA créent de faux comptes avec un comportement humain qui déjoue les CAPTCHA. Découvrez les signaux navigateur qui révèlent les inscriptions automatisées.

Comment Bloquer CCBot (le Robot d'Indexation IA de Common Crawl)

CCBot alimente les jeux de données Common Crawl utilisés pour entraîner GPT-3, BLOOM, LLaMA et bien d'autres modèles d'IA. Découvrez comment le bloquer et ce que le blocage fait réellement.