Les cyberattaques coûtent cher aux entreprises françaises / Au moins 2 milliards d’euros en 2022, selon Asterès

Sous le coup de la numérisation, les cyberattaques sont devenues l’une des principales préoccupations des entreprises, mais également des services publics, en matière de sécurité, partout dans le monde. Celles-ci se sont multipliées ces dernières années et sont de plus en plus difficiles à contrer à mesure que les pirates se professionnalisent.

Rien qu’en 2022, les cyberattaques réussies – c’est-à-dire une intrusion avérée dans le système d’information d’une organisation, une attaque par rançongiciel ou par déni de service, ayant eu un impact opérationnel, financier ou les deux – ont coûté deux milliards d’euros aux organisations françaises (ETI, grandes entreprises ou administrations), selon une évaluation statistique du cabinet Asterès.

Un montant total réparti entre le coût direct de la cyberattaque, estimé à 887 millions d’euros (44 %), le coût des rançons, 888 millions (44 %), et les pertes de production, 252 millions (12 %) – soit une perte de l’ordre de 0,02 %. Des montants probablement sous-évalués puisque les 831 attaques rapportées aux autorités en 2022 ne représenteraient que 0,2 % du volume total.

59 000 euros par attaque en moyenne

Les experts d’Asterès – en compilant plusieurs études antérieures complétées par une enquête auprès d’adhérents du Club des responsables d’infrastructure de technologies et de production informatique (Crip) – estiment que 385 000 cyberattaques auraient réussi l’année dernière, soit 1,8 par organisation. Le coût moyen d’une telle attaque s’établit à 59 000 euros en moyenne, mais la réalité est beaucoup plus variable selon le type d’intrusion et d’entreprise. Une estimation qui recouvre les trois types de coûts évoqués précédemment.

Parmi les 347 000 cyberattaques réussies touchant des entreprises, 330 000 concernent des petites et moyennes entreprises (PME) contre seulement 17 000 pour les moyennes et grandes entreprises. En outre, 37 000 cyberattaques réussies ont visé des organisations publiques, soit 10 % du total, calcule Asterès.

Près de trois quarts des entreprises concernées ont été atteintes au moyen de campagnes de "phishing" ou de "spear phishing", c’est-à-dire via des e-mails frauduleux ou des escroqueries en ligne. Le deuxième type d’attaque le plus courant est l’exploitation d’une faille dans les systèmes d’information de l’entreprise. L’ensemble des chiffres évoqués restent toutefois très incertains tempère Asterès tant les montants évoqués entre les études diffèrent.