1,6% du PIB annuel de certains pays de l'Union européenne, 425 000 € à 20 M€ par entreprise en Allemagne, 330 Mds à 506 Mds € pour l'ensemble du globe ? Combien ? Quels sont les coûts directs et indirects [1] des cyberattaques ? Si la question n'est pas nouvelle, elle se pose avec davantage d'acuité ces dernières années, transition numérique de la société et dépendance accrue aux technologies de l'information et de la communication (TIC) obligent. L'ENISA, l'agence européenne chargée des questions de cybersécurité, a tenté de répondre à cette lancinante interrogation au travers d'une étude [2]. En arrivant finalement à la conclusion qu'il n'existait pas (encore) de méthodologie fiable et donc de chiffres cohérents et qu'y arriver représentait un défi de taille.
Ce rapport de 32 pages, directement consultable ici, est éclairant à divers titres mais je n'en souligne que deux, prudemment. Notamment en raison de l'écart - inconnu aujourd'hui et qui le demeurera encore très longtemps - qui existe entre les incidents déclarés, ceux dissimulés et ceux tout simplement ignorés ou dont les conséquences sont mal mesurées. Le premier intérêt du rapport est de dégager une possible appétence des attaquants pour trois secteurs, même si tous sont ciblés à des degrés divers : la finance, les TIC en l'énergie. Le second intérêt, qui est aussi une demi-surprise [3], est la prédominance des cyberattaques par saturation de type DoS et DDoS.
Si l'on se réfère en effet à la page 13 du guide de l'ANSSI "Comprendre et anticiper les attaques DDoS" [4], il y est parfaitement expliqué qu'il "est possible de combiner l'usage d'équipements dédiés en bordure du réseau d'une entité à un filtrage effectué "dans le cloud". Ce type de protection hybride permet notamment de protéger l'entité contre des attaques volumétriques tout en lui donnant la capacité de lutter contre des attaques de débit plus faible". Encore faut-il le savoir, chose faite maintenant pour mes lecteurs :-), puis de s'emparer des arcanes d'un sujet complexe mais in fine qu'il est possible de traiter efficacement.
Nul doute, et ce sera ma dernière réflexion de cet article de pré-rentrée 2016-2017, qu'essayer de mieux saisir la réalité des coûts et des conséquences des cyberattaques est une belle mais délicate mission, peut être impossible finalement. En qu'en attendant, s'en tenir à des indicateurs partagés de maturité cyber [5] peut s'avérer plus simple, plus concret et probablement aussi stimulant.
Ce rapport de 32 pages, directement consultable ici, est éclairant à divers titres mais je n'en souligne que deux, prudemment. Notamment en raison de l'écart - inconnu aujourd'hui et qui le demeurera encore très longtemps - qui existe entre les incidents déclarés, ceux dissimulés et ceux tout simplement ignorés ou dont les conséquences sont mal mesurées. Le premier intérêt du rapport est de dégager une possible appétence des attaquants pour trois secteurs, même si tous sont ciblés à des degrés divers : la finance, les TIC en l'énergie. Le second intérêt, qui est aussi une demi-surprise [3], est la prédominance des cyberattaques par saturation de type DoS et DDoS.
Si l'on se réfère en effet à la page 13 du guide de l'ANSSI "Comprendre et anticiper les attaques DDoS" [4], il y est parfaitement expliqué qu'il "est possible de combiner l'usage d'équipements dédiés en bordure du réseau d'une entité à un filtrage effectué "dans le cloud". Ce type de protection hybride permet notamment de protéger l'entité contre des attaques volumétriques tout en lui donnant la capacité de lutter contre des attaques de débit plus faible". Encore faut-il le savoir, chose faite maintenant pour mes lecteurs :-), puis de s'emparer des arcanes d'un sujet complexe mais in fine qu'il est possible de traiter efficacement.
Nul doute, et ce sera ma dernière réflexion de cet article de pré-rentrée 2016-2017, qu'essayer de mieux saisir la réalité des coûts et des conséquences des cyberattaques est une belle mais délicate mission, peut être impossible finalement. En qu'en attendant, s'en tenir à des indicateurs partagés de maturité cyber [5] peut s'avérer plus simple, plus concret et probablement aussi stimulant.
[1] si certaines pertes financières sont calculables (indisponibilité d'un service de flux commerciaux sur internet, pertes d'exploitation se comptant en heures ou pire, vol ou destruction de matériels, ...), les impacts en termes d'emploi sont eux bien plus pernicieux mais bien réels
[3] car les techniques de déception et de détournement de cette typologie de cyberattaques, maintenant anciennes, sont disponibles et plutôt efficaces
Aucun commentaire:
Enregistrer un commentaire