Les pirates chez Yahoo ont emporté 500 millions de données de login, alors que chez Dropbox, ce sont 69 millions d’utilisateurs qui ont vu s’envoler leurs données. Ces méga-piratages semblent de plus en plus fréquents aujourd’hui. Et pour tous ceux/celles qui se demandent pourquoi la sécurité d’un géant tel Yahoo n’est pas meilleure, l’on peut répondre qu’une meilleure sécurité ne vaut peut-être pas le prix qu’elle coûte.
Dans une étude réalisée par la RAND Corporation et publiée dans le Journal of Cybersecurity, des chercheurs ont examiné la fréquence des fuites IT au niveau des entreprises américaines et combien cela leur coûtait. Leur étonnante conclusion, c’est que le coût d’un piratage est nettement inférieur à ce que l’on imagine et s’établit à quelque 200.000 dollars par cas. Alors qu’un solide système de sécurité, surtout pour une grande entreprise, revient beaucoup plus cher. D’un point de vue professionnel, il peut donc sembler assez logique de négliger quelque peu la sécurité.
“Nous nous attendons à ce que les entreprises investissent certes toujours plus dans leur sécurité, mais peut-être sur base de décisions purement rationnelles”, explique Sasha Romanosky, l’auteur de l’étude, à The Register. “Nous faisons tous pareil: nous tentons de comprimer les coûts.”
Pour son étude, Romanosky a analysé 12.000 incidents. En général, ils n’accaparent que 0,4 pour cent des revenus mensuels d’une entreprise. C’est assez peu en comparaison avec la fraude aux factures (5 pour cent) et les pertes dans la vente au détail dues à des vols dans les magasins ou par des collaborateurs (1,3 pour cent) par exemple.
Il est du reste quasiment impossible de spécifier quel est l’impact exact de ce genre d’incident sur la réputation de l’entreprise concernée, même si Romanosky a observé qu’un piratage n’a que peu d’effet sur la valeur des actions des entreprises, y compris à plus long terme.
L’étude étonne dans la mesure où elle tente d’accoler un coût au fait ‘d’avoir été piraté’. Des études similaires d’ENISA, l’agence de l’UE pour la sécurité des réseaux et des informations, ont débouché sur des montants très divergents, puisqu’ils oscillaient entre 425.000 et… 506 millions d’euros.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici