Etude sur la Cybersécurité : Les menaces internes coûtent 11,45 millions de dollars par an aux organisations, un chiffre en hausse de 31 % par rapport à 2018
février 2020 par Proofpoint, Inc.
Proofpoint dévoile aujourd’hui son rapport mondial sur le Coût des Menaces Internes 2020, permettant d’évaluer les coûts et tendances en matière de collaborateurs négligents, compromis ou malveillants. En moyenne, les organisations touchées ont dépensé 11,45 millions de dollars par an pour remédier à ce type de menace et ont mis 77 jours pour régler chaque incident.
Le rapport, réalisé par l’institut Ponemon et co-sponsorisé par IBM, met en lumière le témoignage de 1000 Responsables en Sécurité et en Informatique en Amérique du Nord, en Europe, au Moyen-Orient, en Afrique et dans la région Asie-Pacifique. Chaque entreprise interrogée dans le cadre de cette étude a vécu un ou plusieurs événements importants venant de l’intérieur même de leur organisation. Au cours des deux dernières années, la fréquence et les coûts associés aux menaces internes ont considérablement augmenté pour les trois catégories de menaces identifiées : les collaborateurs négligents, les collaborateurs malveillants et les cybercriminels ayant dérobé les identifiants d’utilisateurs légitimes.
" Avec un coût moyen de plus de 600 000 dollars par incident, les menaces internes doivent être une préoccupation majeure pour les entreprises du monde entier", a déclaré Mike McKee, vice-président exécutif et directeur général de la gestion des menaces internes pour Proofpoint. "L’ensemble de l’écosystème interne des entreprises, comprenant les employés, les partenaires et les fournisseurs tiers, est un vecteur d’attaque privilégié par les cybercriminels en raison de l’accès étendu aux systèmes, aux données et aux infrastructures cruciales dont ces utilisateurs bénéficient. Au vu de l’ampleur des applications et des systèmes concernés par ce type de menace, plusieurs niveaux de défense sont recommandés, et notamment une solution dédiée à la gestion des menaces internes, en association avec un programme soutenu de formation en cybersécurité, afin de fournir la meilleure protection possible contre ce type d’attaque. »
Les principaux résultats de l’étude Coût des Menaces Internes 2020 révèlent que :
• Les organisations impactées par des menaces internes ont dépensé en moyenne 11,45 millions de dollars par an, soit une augmentation de 31 % par rapport aux 8,76 millions de dollars dépensés en 2018.
• Plus de 60 % des cas de menaces internes signalés résultent de collaborateurs négligents et 23 % sont le fait d’initiés malveillants. 14 % des attaques internes impliquent des cybercriminels ayant volé des identifiants.
• Le nombre d’incidents a augmenté de 47 % en deux ans seulement, passant de 3 200 en 2018 à 4 700 en 2020.
• Plus la menace interne dure longtemps, plus elle est coûteuse. Les incidents qui ont pris plus de 90 jours pour être maîtrisés coûtent aux organisations 13,71 millions de dollars par an, tandis que les incidents qui ont duré moins de 30 jours coûtent environ la moitié. Il faut en moyenne plus de deux mois (77 jours) pour venir à bout d’un incident d’initié.
• Plus l’organisation est grande, plus les risques sont élevés. Les grandes entreprises de plus de 75 000 employés ont dépensé en moyenne 17.92 millions de dollars sur l’année. A l’inverse, les plus organisations de moins de 500 employés ont dépensé en moyenne 7.68 millions d’euros.
• Le secteur financier est le secteur le plus impacté par les menaces internes. Au cours des deux dernières années, les entreprises de ce secteur ont dépensé en moyenne 14.3 millions de dollars pour contenir un incident, contre 11.54 millions dans le secteur de l’énergie et 10.24 millions dans le secteur du retail (un chiffre en augmentation de 38 % en deux ans).