Plus de 200 statistiques alarmantes sur la cybersécurité et réflexions d'experts en sécurité
Par :
Masha Komnenic CIPP/E, CIPM, CIPT, FIP
| Mis à jour le : 14 janvier 2026
Selon les experts, si votre entreprise ne se prépare pas à une attaque de cybersécurité, vous êtes peut-être déjà en difficulté. Non, sérieusement.
La cybercriminalité a une portée mondiale et se présente sous de multiples formes, telles que le phishing, les ransomwares et les attaques d'États-nations. Ces menaces numériques ne connaissent ni frontières ni limites.
Selon IBM, 17 % des organisations ont déclaré avoir subi leur première violation de données en 2022, et 83 % ont subi plus d'une violation.
Les entreprises qui collectent des informations personnelles sont tenues pénalement et financièrement responsables des violations de données en vertu de lois telles que le règlement général sur la protection des données (RGPD) et le California Consumer Privacy Act(CCPA).
Nous avons dressé une liste de plus de 200 statistiques sur la cybersécurité et demandé à six professionnels de la cybersécurité de nous faire part de leur statistique la plus choquante en matière de cybersécurité et de leur meilleur conseil pour les entreprises.
- Quelles sont les statistiques les plus choquantes en matière de cybersécurité selon les experts ?
- Quelles statistiques sur la cybersécurité montrent une prise de conscience croissante et les tendances du marché ?
- Que révèlent les statistiques sur les causes et les modalités des cyberattaques ?
- Combien coûte réellement la cybercriminalité selon les statistiques ?
- Quelles tendances en matière de détection et de récupération des cyberattaques révèlent les données ?
- Quelles sont les dernières statistiques sur les cyberattaques spécifiques à certaines méthodes (hameçonnage, ransomware, etc.) ?
- Quelles sont les dernières statistiques relatives aux cyberattaques spécifiques à chaque secteur d'activité ?
- Quelles sont les dernières statistiques sur les cyberattaques géolocalisées ?
- Comment les chefs d'entreprise et les cadres supérieurs hiérarchisent-ils la cybersécurité selon les statistiques ?
- Comment les entreprises mettent-elles en place des équipes et des infrastructures de cybersécurité selon les statistiques ?
- Selon des données récentes, dans quelle mesure les petites entreprises sont-elles vulnérables aux cyberattaques ?
- Quelles sont les dernières statistiques sur les cyberattaques publiées par l'Internet Crime Complaint Center (IC3) ?
- Que révèlent les données sur la cyberassurance ?
- Quels sont les conseils des experts en matière de cybersécurité ?
* Tous les chiffres ci-dessous sont exprimés en USD, sauf indication contraire.
Quelles sont les statistiques les plus choquantes en matière de cybersécurité selon les experts ?
Nous avons posé à six experts en cybersécurité et leaders d'opinion du monde entier deux questions essentielles pour aider les entreprises et les consommateurs à se préparer à un monde de plus en plus numérique.
Nous aborderons la seconde question plus loin dans cet article, mais voyons d'ores et déjà comment ils ont répondu à la première :
Nous avons interrogé les experts :
Quelle est la statistique la plus choquante que vous connaissiez en matière de cybersécurité ?
Ana Ferreira, PhD, CISSP, HCISPP
La statistique qui me revient toujours à l'esprit est que seulement 25 % des femmes intègrent la main-d'œuvre dans le domaine de la cybersécurité, à l'échelle mondiale.
En outre, au Portugal, cette statistique n'est pas encore disponible, mais celle qui l'est, c'est que seulement 6 % des personnes ayant obtenu un diplôme de haut niveau en cybersécurité l'année dernière (2022) sont des femmessoit un tiers de moins que l'année précédente.
Richard Bejtlich
Voici ma statistique préférée en matière de sécurité : en 2013, des agents fédéraux ont informé plus de 3 000 entreprises américaines que leurs systèmes informatiques avaient été piratés.
Je suis également un grand fan des M-Trends de Mandiant, en particulier de la statistique "dwell time".
Adam Levin
Plus de 50 % d'entre nous réutilisent leurs mots de passe - et ce n'est que le chiffre de ceux qui l'avouent. L'internaute moyen possédant 150 comptes en ligne, un seul mot de passe compromis peut faire beaucoup de dégâts.
En bref : Les mauvaises habitudes en matière de mots de passe rendent la vie facile aux pirates et impossible aux professionnels de la cybersécurité. Si votre directeur financier utilise le même mot de passe pour protéger vos données financières que celui qu'il utilise pour son application de score de golf, votre entreprise va se faire pirater.
Steve Morgan
Selon Cybersecurity Ventures, le coût des dommages causés par la cybercriminalité dans le monde devrait atteindre 10 500 milliards de dollars par an d'ici à 2025, contre 3 000 milliards de dollars en 2015.
Bob Carver - CISM, CISSP, MS
On prévoit actuellement que le marché de la cybercriminalité représentera 10,5 billions de dollars par an d'ici à 2025.
Chuck Brooks
La statistique la plus choquante que je connaisse est que 43 % de toutes les violations de données concernent des petites et moyennes entreprises.
Malgré cette réalité, la plupart des petites et moyennes entreprises ignorent encore ce qu'elles doivent faire pour mieux se protéger des cyberattaques. En fait, la plupart d'entre elles n'ont aucune notion de la cyberhygiène de base. Souvent, elles ne disposent pas de cyber-experts au sein de leur entreprise et manquent d'authentification multifactorielle, de pare-feu, de sauvegardes de données et de protocoles d'intervention en cas d'incident.
Avant de passer aux conseils de nos experts pour les entreprises, examinons quelques autres statistiques alarmantes sur la cybersécurité, ventilées par catégorie.
Quelles statistiques sur la cybersécurité montrent une prise de conscience croissante et les tendances du marché ?
Au cours des dernières années, les consommateurs, les chefs d'entreprise et les dirigeants ont pris conscience des risques liés à la cybersécurité et des conséquences potentielles qu'ils encourent s'ils sont touchés.
Selon les données :
- 81% des chefs d'entreprise estiment que rester en tête des risques de cybersécurité est un combat permanent.(Accenture)
- 74% des personnes pensent que le travail à distance a facilité la tâche des cybercriminels.(Norton)
- 44 % des adultes se sentent plus exposés au risque de cybercriminalité qu'avant la pandémie de COVID-19.(Norton)
Cette prise de conscience résulte en grande partie de l'afflux de cyberattaques dues à des criminels, des pirates informatiques et d'autres acteurs malveillants qui utilisent le cyberespace comme une arme.
Ces attaques ont incité un plus grand nombre de personnes à mettre en œuvre des mesures défensives et préventives pour se protéger, protéger leurs entreprises, leurs moyens de subsistance, leurs informations personnelles et leur réputation.
Mais, selon les statistiques, la majorité des adultes ne se sentent toujours pas suffisamment préparés.
- 58% des adultes sont plus inquiets qu'auparavant à l'idée d'être victimes de la cybercriminalité.(Norton)
- 53% des adultes admettent ne pas savoir comment se protéger contre la cybercriminalité.(Norton)
Les statistiques sur la cybersécurité révèlent un marché en pleine croissance
Le marché de la cybersécurité devrait lui aussi connaître une forte expansion à mesure que la prise de conscience s'accroît. Au cours de la prochaine décennie, des offres d'emploi dans le domaine de la cybersécurité seront créées pour répondre aux besoins prévus et imprévus.
- En 2021, Microsoft a lancé une campagne visant à former et à recruter 250 000 personnes dans le domaine de la cybersécurité d'ici à 2025.(Microsoft)
Voici quelques statistiques supplémentaires concernant l'état prévisionnel du marché de la cybersécurité :
- Le marché de la cybersécurité représentera 261,3 milliards de dollars à la fin de 2023 et devrait croître à un taux de croissance annuel composé (TCAC) de 8,7 % au cours de la période 2023-2026 pour atteindre 334,6 milliards de dollars.(GlobalData)
- Aux États-Unis, le Bureau of Labor Statistics indique que les analystes en sécurité de l'information peuvent s'attendre à un taux de croissance de 35 %, et qu'il s'agit du huitième emploi dont la croissance est la plus rapide dans le pays.(BLS.gov)
- On estime à 3,5 millions le nombre de postes à pourvoir dans le domaine de la cybersécurité en 2025.(Cybersecurity Ventures)
- En décembre 2022, il y avait 755 743 offres d'emploi en cybersécurité dans les secteurs public et privé.(Cyberseek)
Que révèlent les statistiques sur les causes et les modalités des cyberattaques ?
Pourquoi et comment les cybercriminels parviennent-ils à attaquer autant de consommateurs et d'entreprises ?
Nous avons rassemblé pour vous quelques réponses potentielles :
- Les cybercriminels ont généralement trois motivations : criminelle, politique ou personnelle. Mais la motivation première de 96 % des cyberattaques est le gain financier ou personnel.(Verizon)
- Des études montrent que l'erreur humaine est à l'origine de 95 % des atteintes à la cybersécurité.(WeForum)
- 21 % des consommateurs ont été victimes d'une escroquerie au cours des 12 derniers mois.(Norton)
- Le troisième trimestre 2022 a vu une augmentation de 28% des attaques mondiales par rapport à la même période en 2021.(Checkpoint)
- Les trois principales cyberattaques qui préoccupent les organisations sont les suivantes ransomware, ingénierie socialeet activités d'initiés malveillants. (WeForum)
- La mise en œuvre d'une gestion des accès privilégiés (PAM) peut contribuer à atténuer les menaces internes en limitant et en contrôlant l'accès aux systèmes critiques.
- En 2021, les ransomwares seront 57 fois plus destructeurs qu'en 2015.(Cybersecurity Ventures)
- 43% des utilisateurs d'Internet ont déclaré avoir commis une erreur au travail qui a eu des répercussions sur la sécurité.(Tessian)
- Les cyberattaques par des tiers sont passées de 44 % à 61 %.(WeForum)
- Entre 75 et 90 % des cyberattaques ciblées commencent par un courrier électronique.(Roundrobintech)
- Environ 20 % des violations de données commencent par le vol de données de connexion, et 82 % des internautes réutilisent des mots de passe pour plusieurs comptes.(Explodingtopics)
- Les informations d'identification volées ou compromises ont été la cause principale de 19 % des violations en 2022.(IBM)
Selon les données recueillies et rapportées par IBM, sur l'ensemble des brèches survenues en 2022 :
- 24% sont le résultat d'une défaillance informatique
- 21% étaient le résultat d'une erreur humaine
- 19% étaient des attaques contre la chaîne d'approvisionnement
- 17% étaient des attaques destructives
- 11% étaient des attaques de ransomware
- 8 % ont été causés par d'autres attaques malveillantes
L'étude poursuit en indiquant que les 2022 violations d'infrastructures critiques ont été causées par les attaques ou les défaillances d'infrastructures suivantes(IBM) :
- Attaques par ransomware - 12
- Attaques destructrices - 16
- Attaques contre la chaîne d'approvisionnement - 17
- Erreur humaine - 22
- Défaillances informatiques - 25
- Autres attaques malveillantes - 8
Ce qui rend ces chiffres encore plus effrayants, c'est le temps qu'il faut pour nettoyer après une violation :
- Il faut 26 jours de plus pour identifier et contenir une violation de la chaîne d'approvisionnement qu'une violation moyenne.(IBM)
- 28% des organisations ont subi une attaque destructive ou par ransomware.(IBM)
Combien coûte réellement la cybercriminalité selon les statistiques ?
La criminalité n'est pas bon marché, surtout lorsqu'elle se produit dans l'espace numérique ; il suffit de regarder les données :
- Le coût de la cybercriminalité dans le monde est estimé à 8 000 milliards de dollars par an en 2023(Cybersecurity Ventures).
- Selon IBM, les brèches causées par le vol ou la compromission d'informations d'identification coûtent en moyenne 4,5 millions de dollars et se produisent à une fréquence de 19 % - et ce n'est là que la partie émergée de l'iceberg.
Les cybercriminels déploient des efforts extrêmes pour perpétrer leurs crimes, et les brèches qui en résultent peuvent nuire aux activités et à la réputation d'une entreprise.
Une seule attaque isolée peut anéantir les résultats d'une entreprise et la contraindre à cesser définitivement ses activités.
- Le coût moyen d'une violation de données en 2022 était de 4,35 millions de dollars.(IBM)
Les coûts pour le personnel de l'entreprise peuvent être encore plus importants, y compris des effets permanents sur leurs moyens de subsistance.
Les cybercriminels mènent des opérations et des combines astucieuses et à la pointe de la technologie. Ils profitent de l'absence de mesures de cybersécurité solides de la part de nombreux particuliers, entreprises et même gouvernements.
Le tableau ci-dessous présente les causes les plus courantes des violations et les coûts qui y sont associés, selon IBM.
| Cause de la violation | % de violations | Coût |
| Informations d'identification compromises | 19% | 4,5 millions de dollars |
| Hameçonnage | 16% | 4,91 millions de dollars |
| Mauvaise configuration du nuage | 15% | 4,14 millions de dollars |
| Vulnérabilité dans un logiciel tiers | 13% | 4,55 millions de dollars |
| L'initié malveillant | 11% | 4,18 millions de dollars |
| Compromission de la sécurité physique | 9% | 3,96 millions de dollars |
| Erreur du système | 7% | 3,82 millions de dollars |
| Compromission du courrier électronique des entreprises | 6% | 4,89 millions de dollars |
| Ingénierie sociale | 4% | 4,1 millions de dollars |
| Perte accidentelle de données ou perte de l'appareil | 5% | 3,94 millions de dollars |
En outre, le tableau ci-dessous compare deux des catégories de coûts les plus importantes liées aux failles de sécurité entre 2022 et 2021(IBM) :
| Catégorie de coût | 2022 | 2021 | Exemples |
| Coûts des activités perdues | 1,42 million de dollars | 1,59 million de dollars |
|
| Coûts de détection et d'escalade | 1,44 million de dollars | 1,24 million de dollars |
|
Une autre menace potentielle que les propriétaires d'entreprise doivent prendre en compte est celle d'une "méga-fraude", c'est-à-dire d'une violation dont plus d'un million d'enregistrements ont été compromis.
Si vous collectez une grande quantité d'informations personnelles, vous risquez d'être victime de cette cybercriminalité de grande ampleur, d'où l'importance des informations suivantes :
- Le coût moyen d'une méga-faille de 50 à 60 millions d'enregistrements compromis est de 387 millions de dollars.(IBM)
- Les organisations qui ont déployé des systèmes d'IA et d'automatisation de la sécurité économisent 3,05 millions de dollars en cas de violation par rapport aux organisations qui n'ont pas de systèmes d'IA et d'automatisation de la sécurité.(IBM)
Le secteur dans lequel vous travaillez a son importance dans une certaine mesure, mais une infraction dans n'importe quel secteur sera toujours coûteuse, et ces coûts continueront probablement à augmenter.
Le tableau ci-dessous présente le coût des violations par secteur d'activité, en comparant 2022 à 2021(IBM).
| Secteur | 2022 | 2021 |
| Industrie des soins de santé | 10,10 millions de dollars | 9,23 millions de dollars |
| Industrie pharmaceutique | 5,97 millions de dollars | 5,72 millions de dollars |
| Industrie technologique | 4,97 millions de dollars | 4,88 millions de dollars |
| Industrie de l'énergie | 4,72 millions de dollars | 4,65 millions de dollars |
| Industrie des services | 4,70 millions de dollars | 4,65 millions de dollars |
| Secteur industriel | 4,47 millions de dollars | 4,24 millions de dollars |
| Industrie de la recherche | 3,88 millions de dollars | 3,60 millions de dollars |
| Secteur de la consommation | 3,86 millions de dollars | 3,7 millions de dollars |
| Industrie de l'éducation | 3,86 millions de dollars | 3,79 millions de dollars |
| Industrie du divertissement | 3,83 millions de dollars | 3,80 millions de dollars |
| Industrie des communications | 3,62 millions de dollars | 3,62 millions de dollars |
| Industrie des transports | 3,59 millions de dollars | 3,75 millions de dollars |
| Secteur du commerce de détail | 3,28 millions de dollars | 3,27 millions de dollars |
| Industrie des médias | 3,15 millions de dollars | 3,17 millions de dollars |
| Industrie hôtelière | 2,94 millions de dollars | 3,03 millions de dollars |
| Secteur public | 2,07 millions de dollars | 1,93 million de dollars |
Ces crimes numériques n'ont pas seulement un impact sur votre entreprise, mais aussi sur l'argent de vos consommateurs. Regardez ce que les données suggèrent :
- Les brèches dans les clouds publics coûtent en moyenne 4,8 millions de dollars, tandis que les brèches dans les modèles de clouds hybrides coûtent au minimum 3,61 millions de dollars.(IBM)
- 60 % des brèches dans les organisations ont entraîné une augmentation des prix répercutée sur les clients.(IBM)
- Les atteintes au travail à distance coûtent 1 million de dollars de plus que les atteintes sans travail à distance.(IBM)
Augmentation des budgets consacrés à la cybersécurité
Les professionnels du monde entier augmentent leur budget annuel pour éviter d'être victimes de ces crimes numériques.
Selon une étude menée par PWC, les responsables de la technologie et de la sécurité s'attendent à ce que leur budget cybernétique augmente en 2022 dans les proportions suivantes :
- 12 % prévoient une augmentation de 15 % ou plus
- 14 % prévoient une augmentation de 11 à 15 %.
- 25 % s'attendent à une augmentation de 6 à 10 %.
- 18 % prévoient une augmentation de 5 % ou moins
- 12% ne s'attendent à aucun changement
- 15% s'attendent à ce qu'elle diminue
Quelles tendances en matière de détection et de récupération des cyberattaques révèlent les données ?
Croyez-le ou non, les violations de données ont un cycle de vie qui se définit comme le temps écoulé entre le moment où la violation est détectée pour la première fois et le moment où elle est contenue.
Il faut parfois des mois, voire des années, pour que les organisations se remettent complètement d'une cyberattaque. Certaines ne s'en remettent jamais.
Voici quelques statistiques qui montrent le temps qu'il faut en moyenne à une entreprise pour détecter ce crime numérique et s'en remettre :
- Les victimes de la cybercriminalité perdent 318 milliards de dollars par an, soit 4 476 dollars par victime et par cybercrime.(Comparitech)
- 71,1 millions de personnes sont victimes de cybercrimes chaque année dans le monde.(Comparitech)
- Les violations causées par le vol ou la compromission d'informations d'identification prennent 243 jours de plus à identifier et 84 jours supplémentaires à contenir.(IBM)
- Un cycle de vie plus court pour les atteintes à la protection des données est corrélé à des coûts moindres.(IBM)
D'après les recherches menées par IBM, le cycle de vie des violations de données se maintient autour de 270 jours depuis 2016, comme le montre le tableau ci-dessous.
| Année | Nombre moyen de jours pour identifier une violation de données | Nombre moyen de jours pour contenir une violation de données | Cycle de vie d'une violation de données |
| 2022 | 207 | 70 | 277 jours |
| 2021 | 212 | 75 | 287 jours |
| 2020 | 207 | 73 | 280 jours |
| 2019 | 206 | 73 | 279 jours |
| 2018 | 197 | 69 | 266 jours |
| 2017 | 191 | 66 | 257 jours |
| 2016 | 201 | 70 | 271 jours |
Si l'on considère les catégories de cyberattaques, ce sont le vol d'informations d'identification et la compromission de courriers électroniques professionnels qui prennent le plus de temps à récupérer, avec une moyenne de plus de 300 jours.
Ci-dessous, nous comparons le temps moyen nécessaire pour identifier et contenir une violation en fonction du type d'attaque initiale(IBM).
| Type d'attaque | Nombre moyen de jours pour identifier la violation | Nombre moyen de jours pour contenir la brèche | Cycle de vie d'une brèche moyenne |
| Informations d'identification volées ou compromises | 243 | 84 | 327 jours |
| Compromission du courrier électronique des entreprises | 234 | 74 | 308 jours |
| Hameçonnage | 219 | 76 | 295 jours |
| Vulnérabilité d'un logiciel tiers | 214 | 70 | 284 jours |
| Initiés malveillants | 216 | 68 | 284 jours |
| Compromission de la sécurité physique | 217 | 63 | 280 jours |
| Ingénierie spéciale | 201 | 69 | 270 jours |
| Perte accidentelle de données ou perte de l'appareil | 189 | 69 | 258 jours |
| Mauvaise configuration du nuage | 183 | 61 | 244 jours |
| Autres erreurs de configuration technique | 149 | 67 | 216 jours |
Bien que le cycle de vie moyen des violations de données soit resté relativement stable au cours des dernières années, l'impact financier n'a fait qu'augmenter.
Même les brèches dont le cycle de vie est plus court que la moyenne coûtent aux entreprises des millions de dollars chaque année.
Le tableau ci-dessous compare le coût moyen des violations de données en fonction de la durée du cycle de vie.(IBM)
| Année | Cycle de vie > 200 jours | Life Cycle < 200 days |
| 2022 | 4,86 millions de dollars | 3,74 millions de dollars |
| 2021 | 4,87 millions de dollars | 3,61 millions de dollars |
| 2020 | 4,33 millions de dollars | 3,21 millions de dollars |
| 2019 | 4,56 millions de dollars | 3,34 millions de dollars |
| 2018 | 4,15 millions de dollars | 3,21 millions de dollars |
| 2017 | 3,75 millions de dollars | 2,79 millions de dollars |
| 2016 | 3,61 millions de dollars | 2,54 millions de dollars |
Quelles sont les dernières statistiques sur les cyberattaques spécifiques à certaines méthodes (hameçonnage, ransomware, etc.) ?
La cybercriminalité est un terme utilisé pour décrire différents types d'infractions commises sur l'internet. Dans cette section, nous nous concentrerons sur les types spécifiques de méthodes d'attaque que les criminels utilisent pour obtenir un accès non sollicité aux données personnelles et aux fichiers d'une victime.
Par exemple, un courriel apparemment inoffensif envoyé à un grand nombre d'utilisateurs peut contenir un lien malveillant. Ceux qui ont la malchance de cliquer sur ce lien subissent les répercussions de cette cyberattaque.
De l'autre côté du spectre, la cybercriminalité peut également impliquer des actes tels que le chantage, l'extorsion ou même l'usurpation d'identité.
Cette section décrit les types de cyberattaques les plus courants et fournit des statistiques qui leur sont propres.
Attaques par hameçonnage
La première cybercriminalité courante que nous abordons est le phishing, un délit de tromperie qui touche chaque année un grand nombre de particuliers et d'entreprises.
Dans une escroquerie par hameçonnage, les victimes sont contactées par courrier électronique, message texte ou appel téléphonique par quelqu'un qui a l'intention de les inciter à fournir des informations personnelles ou sensibles, comme par exemple :
- Coordonnées bancaires
- Numéros de sécurité sociale
- Mots de passe
- Informations financières
Les cybercriminels s'emparent ensuite de ces informations personnelles ou sensibles pour accéder aux finances ou aux comptes de la victime.
Si le phishing désigne techniquement les escroqueries par courrier électronique, il existe d'autres variantes de ce délit :
- Vishing : phishing vocal, comme lorsque le criminel contacte la victime par le biais d'un appel téléphonique.
- Smishing : escroquerie par SMS, par exemple lorsque le criminel contacte la personne par message texte.
Voici quelques statistiques choquantes sur le phishing qui mettent en évidence les impacts, les conséquences et les pertes associés au fait d'être victime de cette attaque sournoise :
- Plus de 90 % des piratages informatiques réussis commencent par une attaque de phishing.(Infosecinstitute)
- Il y a eu 1 025 968 attaques de phishing au cours du premier trimestre 2022.(APWG)
- Le coût moyen d'une violation de données est de 4,35 millions de dollars.(Expertinsights)
- 94% des logiciels malveillants sont envoyés par courrier électronique. (Egress)
- 85% des attaques de phishing visent les informations de connexion.(Exploding Topics)
- 47% des employés considèrent la distraction comme la principale raison pour laquelle ils sont victimes d'une escroquerie par hameçonnage.(Tessian)
- 23,2 % de toutes les attaques de phishing au troisième trimestre 2022 visaient des institutions financières, contre 23,6 % au premier trimestre(APWG).
- Le troisième trimestre 2022 a été le pire trimestre pour les attaques de phishing jamais observé par l'APWG, avec 1 270 883 attaques au total, un nouveau record.(APWG)
Selon l'APWG, la liste suivante représente les industries les plus ciblées par le phishing au cours du troisième trimestre 2022 :
- Financier : 23,3% (23,6% au 1er trimestre)
- SAAS/Webmail : 17% (20,5% au 1er trimestre)
- Commerce électronique/vente au détail : 4,1% (14,6% au 1er trimestre)
- Médias sociaux : 11% (12,5% au 1er trimestre)
- Crypto : 2% (6,6% au 1er trimestre)
- Paiement : 4% (5% au 1er trimestre)
- Logistique/expédition : 6% (3,8% au 1er trimestre)
- Autres : 30 % (13,4 % au 1er trimestre)
Si l'éducation est importante, en particulier dans la lutte contre la cybercriminalité, l'hameçonnage profite des personnes distraites, ce qui en fait un risque même pour les travailleurs de l'informatique et de l'industrie technologique :
- Les attaques de phishing ont le plus touché les magasins en ligne.(Statista)
- Profitant des facteurs psychologiques provoqués par le COVID, le début du mois d'avril 2020 a vu plus de 18 millions de logiciels malveillants et d'e-mails de phishing.(The Verge)
- 47% des travailleurs de l'industrie technologique admettent avoir cliqué sur un courriel de hameçonnage au travail.(Tessian)
Les données ne mentent pas. Soyez vigilant avant de cliquer sur un lien et formez vos employés à faire de même.
Attaques par ransomware
Le ransomware est une autre forme de cybercriminalité courante qui touche les entreprises et les consommateurs. Un cybercriminel qui utilise un ransomware crypte les fichiers d'une personne, l'empêchant ainsi d'accéder à ses informations. Il exige ensuite le paiement d'une rançon afin de fournir la clé permettant de décrypter les données.(Point de contrôle)
- Les rançongiciels (ransomware) sont de plus en plus répandus dans la cybercriminalité, et le coût moyen d'une attaque en 2022 s'élevait à 4,54 millions de dollars.(IBM)
- Les crimes liés aux ransomwares coûtent aux entreprises et aux particuliers des millions de dollars chaque année, 11% des victimes payant plus d' un million de dollars.(Sophos)
Comme d'autres cybercrimes, cette attaque se produit dans pratiquement tous les secteurs d'activité. Consultez les statistiques sur le pourcentage de paiement de rançons par secteur, telles qu'elles sont rapportées par Sophos:
- Pourcentage total d'organisations qui paient la rançon pour restaurer leurs données : 46%
- Enseignement inférieur (K12/primaire/secondaire) : 53%
- État/gouvernement local : 49%
- Santé : 47%
- Services financiers : 32%
- Fabrication et production : 30%
Ce crime exploite les sentiments et les craintes du public, ainsi que son porte-monnaie. Que la victime protège son emploi, sa réputation, sa bonne volonté, ses moyens de subsistance ou sa famille, cela n'a pas d'importance pour les cyberattaquants.
Le coût réel d'une attaque par ransomware
Le tableau ci-dessous montre le pourcentage de victimes de ransomware par secteur d'activité au troisième trimestre 2022 par rapport au premier trimestre(APWG).
| L'industrie | Q3 2022 | Q1 2022 |
| Fabrication | 17% | 25% |
| Services aux entreprises | 14% | 12.2% |
| Finances | 7% | 10.2% |
| Commerce de détail et de gros | 10% | 8.3% |
| La construction | 9% | 6.8% |
| Soins de santé | 7% | 4.9% |
| L'éducation | 5% | 4.9% |
| Gouvernement | 4% | 4.5% |
| Services juridiques | 5% | 3.2% |
| Immobilier | 20% | 3.2% |
| Transport | 4% | 3.2% |
| Autres | 14% | 13.6% |
Selon les données, le coût potentiel de ce type de cybercriminalité ne fait qu'augmenter :
- L'année dernière, le paiement moyen des ransomwares s'élevait à 812 360 dollars(Sophos).
- D'ici 2031, les attaques par ransomware devraient coûter 265 milliards de dollars dans le monde.(Cybersecurity Ventures)
- En 2022, l'IC3 a reçu 2 385 plaintes concernant des ransomwares, ce qui représente plus de 34,3 millions de dollars de pertes.(IC3)
- En outre, en 2022, 66 % des organisations ont été touchées par une attaque de ransomware, ce qui représente une augmentation significative par rapport à 37 % en 2020.(Sophos)
- D'ici 2031, les attaques par ransomware devraient se produire toutes les 2 secondes.(Cybersecurity Ventures)
Les criminels sont également prêts à s'en prendre aux entreprises de toute taille. Vous trouverez ci-dessous une ventilation du pourcentage d'entreprises victimes de ransomware en fonction de leurs revenus financiers au cours du premier trimestre 2022, tel qu'enregistré par l'APWG:
- Moins de 10 millions de dollars - 28,4
- 10 millions de dollars - 50 millions de dollars - 26,5%.
- 50 millions de dollars - 100 millions de dollars - 12,3 %.
- 100 millions de dollars - 250 millions de dollars - 11,2 %.
- 250 millions de dollars - 500 millions de dollars - 5,4 %.
- 500 millions de dollars - 1 milliard de dollars - 5,2 %.
- 1 milliard de dollars - 10,8
Après une attaque, la plupart des entreprises récupèrent une partie de leurs données, mais en général, les entreprises qui ont souscrit une cyberassurance s'en sortent un peu mieux que celles qui n'investissent pas :
- 99% des organisations attaquées par un ransomware récupèrent des données.(Sophos)
- 83% (4 sur 5) des cyber-assurances des entreprises de taille moyenne couvrent les ransomwares.(Sophos)
- 89% des victimes de ransomware avaient une cyber-assurance, mais seulement 70% des organisations qui ont évité une attaque de ransomware avaient une cyber-assurance.(Sophos)
Les données relatives aux ransomwares sont claires : il est temps de mettre en place des sauvegardes de données, des pratiques de cryptage sécurisées et une formation adéquate des employés.
Attaques d'États-nations
Une attaque d'un État-nation est une cyberattaque menée par une entité étatique. Selon Trellix, les États-nations utilisent les cyberattaques pour "voler des informations, influencer les populations et endommager l'industrie, y compris les infrastructures critiques physiques et numériques".
Leurs cibles ? Des entreprises de premier plan ou d'autres agences gouvernementales. Ils attaquent pour voler des secrets militaires ou gouvernementaux, mener des campagnes de désinformation ou de propagande, ou interrompre les opérations de leur cible.
On se croirait dans un film d'espionnage, mais ces crimes font désormais partie de notre réalité quotidienne. Voici la répartition des cibles les plus courantes des attaques d'États-nations, par secteur d'activité, telle qu'elle a été enregistrée par Microsoft:
- Gouvernement : 48%
- Organisations non gouvernementales et groupes de réflexion : 31%
- Autres : 10%
- L'éducation : 3%
- Organisations intergouvernementales : 3%
- IT : 2%
- Médias : 1%
- Santé : 1%
- Énergie : 1
Ce qui est intéressant avec les attaques des États-nations, c'est de savoir comment identifier si l'on en a été victime. Comme ces crimes sont similaires aux cyberattaques traditionnelles, il faut parfois du temps pour reconnaître ce type de crime spécifique.
Ci-dessous, vous verrez à quel point les organisations se sentent confiantes lorsqu'il s'agit de faire la différence entre une cyberattaque d'un État-nation et d'autres cyberattaques(Trellix) :
- 27% des organisations sont tout à fait sûres de pouvoir faire la différence
- 36% des organisations sont très confiantes dans leur capacité à faire la différence
- 23% ont un niveau de confiance modéré dans leur capacité à faire la différence
- 12 % ont un faible niveau de confiance dans leur capacité à faire la différence
- 2 % ne sont pas convaincus de pouvoir faire la différence
La liste suivante représente le pourcentage des types d'organisations qui pensent avoir fait l'objet d'attaques d'États-nations, selon Trellix:
- Pétrole, gaz et services publics : 48%
- Santé : 38%
- Distribution et transport : 36%
- Gouvernement, défense et forces armées : 51%
- Banque, services financiers et assurance : 35%
- Secteur des infrastructures non critiques : 34%
- Autres secteurs d'infrastructures critiques : 32%
- Médias et télécommunications : 18
- Fabrication : 17%
Combattre les cyberattaques des États-nations : Est-ce possible ?
Une chose est sûre : les dirigeants des organisations qui survivent aux attaques des États-nations souhaitent une aide accrue de la part des autorités supérieures :
- 91% des organisations pensent que le gouvernement devrait faire plus pour les soutenir contre les attaques des États-nations.(Trellix)
- 90 % des organisations estiment que le gouvernement devrait faire davantage pour se protéger contre les attaques d'États-nations.(Trellix)
Mais actuellement, c'est à chaque entreprise de mettre en œuvre les changements et d'adopter les meilleures pratiques pour éviter que ce crime de haut niveau ne se reproduise.
Selon Trellix, après avoir subi une cyberattaque réussie d'un État-nation :
- 40% des organisations ont investi dans de nouveaux outils et technologies de cybersécurité
- 40 % ont mis à jour leurs outils et technologies de cybersécurité existants
- 37% ont revu et mis à jour leurs processus internes
- 36% prévoient des formations supplémentaires pour le personnel en charge de la cybersécurité
- 34 % prévoient des formations supplémentaires pour le personnel existant qui n'est pas chargé de la cybersécurité
- 33% ont recruté du personnel spécialisé dans la cybersécurité
- 25 % ont licencié ou suspendu le personnel fautif
Il est essentiel de s'efforcer de prévenir une nouvelle attaque, car 98 % des organisations qui ont subi des cyberattaques soutenues par des États-nations ont trouvé des traces laissées par les attaquants afin qu'ils puissent accéder à nouveau au réseau ultérieurement.(Trellix)
Pour faire la différence entre une cyberattaque d'un État-nation et d'autres types de cybercriminalité, les organisations mettent en œuvre les types d'outils suivants(Trellix) :
- Notification des partenaires en matière de cybersécurité : 49%
- Outils de cybersécurité : 48%
- Évaluation interne par l'équipe de cybersécurité : 42%
- Cyberattaques similaires d'États-nations dans d'autres pays : 37%
- Notification d'une agence gouvernementale : 37%
- Annonce ou notification à la presse : 30%
Attaques d'États-nations : Quelles sont les données vulnérables ?
Selon Trellix, les types de données les plus vulnérables ciblées par les cyberattaques des États-nations sont les suivants :
- Données sur la cybersécurité (mécanismes et outils de défense) : 42%
- Données sur les processus et les opérations : 41%
- Données personnelles (clients, utilisateurs, citoyens) : 39%
- Données intellectuelles : 38%
- Données sur la stratégie commerciale : 34%
- Données personnelles (employés) : 31%
- Données financières : 30%
- Incertain : 0%
Le tableau ci-dessous présente les principales raisons des attaques d'États-nations par secteur d'activité, telles que rapportées par Trellix.
| L'industrie | Raison de l'attaque de l'État-nation |
|---|---|
| Services informatiques | Informations personnelles des clients |
| Banque, services financiers et assurance | Informations personnelles des clients et des employés |
| Fabrication | Informations personnelles des clients |
| Pétrole et gaz et services publics | Le secteur lui-même |
| Distribution et transport | Propriété intellectuelle |
| Médias et télécommunications | Informations personnelles des clients |
| Soins de santé | Informations personnelles des clients |
| Secteur des infrastructures non critiques | Informations personnelles des clients |
Il semble que la population en général ne soit que partiellement informée de l'existence de ce type de cybercriminalité.
- Seulement 61 % des organisations informent leurs parties prenantes et annoncent publiquement une cyberattaque d'un État-nation dans les deux jours suivant la découverte de l'incident, alors que la notification aux clients est de 33 %.(Trellix)
Les types d'informations sur les cyberattaques des États-nations qui ne sont pas divulguées aux parties prenantes externes sont les suivants(Trellix) :
- Faiblesse de l'infrastructure de cybersécurité : 42%
- Données affectées : 39%
- Coût financier de l'attaque : 34%
- Les erreurs commises par le personnel de cybersécurité : 33%
- Pays suspecté d'être impliqué : 29%
- Durée de l'exposition : 28%
- Méthodes utilisées par les acteurs : 27%
- Pays dont on sait qu'il est impliqué : 24%.
Attaques d'États-nations : Une répartition mondiale
Les cyberattaques des États-nations se produisent dans le monde entier et sont apparemment perpétrées par des criminels de plusieurs pays.
L'Institut international d'études stratégiques (IISS) a publié un rapport sur la cyberpuissance et les capacités de 15 pays. Il a publié une structure à plusieurs niveaux classant leur puissance, le premier étant le meilleur.
Le rapport IIS a classé les pays dans l'ordre suivant :
- Niveau 1 - États-Unis
- Niveau 2 - Australie, Canada, Chine, France, Israël, Russie et Royaume-Uni
- Niveau 3 - Inde, Indonésie, Iran, Japon, Malaisie, Corée du Nord et Vietnam
Les organisations victimes estiment que les États-nations suivants sont responsables des attaques qui les ont ciblées sur la base des informations exposées ou piratées(Trellix) :
- 42% Les attaquants ont agi pour le compte d'un État-nation inconnu
- 39% Russie
- 35% Chine
- 28% Corée du Nord
- 22% Gouvernements occidentaux
- 20 % Iran
- 6% Ne sait pas
Autres cyberattaques spécifiques
D'autres types de cybercrimes se produisent couramment et font des victimes parmi les entreprises et les particuliers ; nous les abordons brièvement dans les sections suivantes.
Vol d'identité
Beaucoup d'entre nous connaissent le concept d'usurpation d'identité, une autre forme courante de cybercriminalité.
L'usurpation d'identité se produit lorsque les informations d'une victime sont volées afin d'usurper son identité.
- En février 2021, 55 millions de consommateurs ont été victimes d'une usurpation d'identité au cours des 12 derniers mois.(Norton)
Pour lutter contre l'usurpation d'identité, il convient de protéger son numéro de sécurité sociale, d'être vigilant face aux tentatives d'hameçonnage et d'usurpation d'identité, et d'utiliser des mots de passe uniques, complexes et efficaces.
Cyberattaques des entreprises de messagerie électronique (BEC) :
Une attaque BEC se produit lorsqu'un escroc se fait passer pour un employé ou une autre personne de confiance afin d'inciter un autre employé ou une autre personne à envoyer de l'argent. Cela se fait généralement par le biais d'un courriel envoyé à partir d'un faux compte de messagerie ou d'un compte de messagerie compromis.(APWG)
En général, le criminel cherche à tromper les victimes pour qu'elles lui donnent de l'argent ou lui transmettent des informations personnelles.
Vous trouverez ci-dessous une ventilation du pourcentage d'attaques BEC qui ont touché les fournisseurs de services de messagerie web gratuits au troisième trimestre 2022(APWG) :
- Google : 66%
- Microsoft : 21
- Verizon Media : 6%
- Autres : 7%
Fraude au support technique
La fraude au support technique est une forme de cybercriminalité qui se développe rapidement d'année en année. Ce type d'attaque se produit lorsque des escrocs font croire à leurs victimes qu'elles ont besoin d'une assistance technique pour résoudre des problèmes fictifs qui n'existent pas.
Les escrocs cherchent parfois à obtenir un "paiement" pour leur "service d'assistance technique" ou vos informations personnelles.(Microsoft)
Vous trouverez ci-dessous une comparaison de l'augmentation des pertes subies par les victimes au cours des cinq dernières années pour la fraude au support technique(IC3) :
- 2022 - 806,5 millions de dollars(rapport IC3 2022)
- 2021 - 347,6 millions de dollars
- 2020 - 146,47 millions de dollars
- 2019 - 54 millions de dollars
- 2018 - 38,69 millions de dollars
- 2017 - 14,8 millions de dollars
Les délits liés à l'assistance technique touchent un peu plus les populations plus âgées que les générations plus jeunes et plus au fait des technologies.
- En 2021, par exemple, 60 % des victimes de fraude à l'assistance technique avaient plus de 60 ans et représentaient 68 % des pertes.(IC3)
Attaques dans les médias sociaux
Les cyberattaquants peuvent également utiliser les médias sociaux pour mener des attaques de phishing et d'autres cybercrimes courants en se faisant passer pour des personnes ou des marques de confiance.(Proofpoint)
Les attaques sur les médias sociaux se multiplient, l'entreprise moyenne étant ciblée en ligne près de trois fois par jour, selon l'APWG.
Vous trouverez ci-dessous les types de menaces les plus courants sur les médias sociaux pour le premier trimestre 2022(APWG) :
- Usurpation d'identité : 47%
- Fraude : 29%
- Cyber-menaces : 24
- Fuite de données : 1
Les médias sociaux sont un secteur technologique qui a explosé ces dernières années, et la jeune génération qui opère en ligne est impatiente d'utiliser les médias sociaux dans tous les aspects de sa vie.
Plus une personne est liée à son compte de médias sociaux, plus il est facile pour une cybermenace d'utiliser des plateformes telles que Twitter, Facebook et Instagram pour commettre des délits.
Grâce aux progrès de la technologie de l'IA, les criminels peuvent désormais facilement dissimuler leur véritable identité en ligne et faciliter les délits où les individus pensent avoir affaire à leur patron ou à une célébrité alors qu'ils interagissent avec un cybercriminel sophistiqué de l'autre côté du globe.
Quelles sont les dernières statistiques relatives aux cyberattaques spécifiques à chaque secteur d'activité ?
Comme nous l'avons déjà mentionné, peu importe votre secteur d'activité ; dès lors que vous opérez dans un espace numérique, vous êtes vulnérable à la cybercriminalité.
Dans les sections suivantes, nous comparons les données relatives à la cybersécurité pour tous les secteurs d'activité suivants :
- L'éducation
- Soins de santé
- Pharmaceutique
- Gouvernement et armée
Les cyberattaques dans l'éducation
Pour ceux qui travaillent dans le domaine de l'éducation, la cybercriminalité doit être au premier plan de leurs préoccupations.
- Au troisième trimestre 2022, le secteur de l'éducation et de la recherche a connu une augmentation de 18% des attaques par rapport au troisième trimestre 2021, avec une moyenne chaque semaine de 2 148 attaques par organisation.(Checkpoint)
Le secteur de l'éducation est le sixième secteur le plus visé par les cyberattaques, après les secteurs de la finance, de la santé, de l'information, de l'industrie manufacturière, des professions libérales et du secteur public.
- Selon l'étude, les écoles sont la deuxième cible la plus importante pour les attaques de ransomware.(Impactmybiz)
Jetez un coup d'œil à certaines données alarmantes indiquant que l'éducation est un foyer de cyberattaques, en particulier si l'infrastructure de sécurité de l'école est vulnérable :
- L'éducation a été le secteur le plus ciblé par les cyberattaques au cours du premier semestre 2022.(Sentinelone)
- L'éducation est l'industrie la moins sûre parmi 17 secteurs.(Impactmybiz)
- En juillet 2022, le secteur de l'éducation a subi deux fois plus de cyberattaques hebdomadaires que les autres secteurs d'activité.(Sentinelone)
- Une étude distincte a également révélé qu'en août 2022, le secteur de l'éducation a subi deux fois plus d'attaques hebdomadaires que les autres secteurs d'activité.(Point de contrôle)
- 87% des établissements d'enseignement ont signalé au moins une cyberattaque réussie.(Impactmybiz)
- 30% des utilisateurs du secteur de l'éducation ont été victimes d'un système d'hameçonnage.(Impactmybiz)
La solution semble claire, en particulier pour les dirigeants des universités :
- 85% des universités reconnaissent qu'il faut allouer plus de fonds aux départements informatiques pour protéger la recherche critique.(Impactmybiz)
Il est indispensable d'investir du temps, de l'argent et des ressources dans la formation du service informatique des établissements d'enseignement pour combattre, prévenir et limiter ces cybercrimes. Si l'industrie ne rattrape pas son retard, les écoles resteront l'une des organisations les plus ciblées année après année.
Les cyberattaques dans le secteur de la santé
Le secteur de la santé est un autre secteur populaire et lucratif qui est régulièrement victime de la cybercriminalité.
- En 2022, le secteur des soins de santé a subi en moyenne 1 426 attaques par semaine, soit une augmentation de 60 % par rapport à l'année précédente(Checkpoint).
- Plus de 40 millions de dossiers de patients ont été compromis par des violations de données en 2021.(Healthcare IT News)
- Les violations dans le secteur de la santé ont connu les plus fortes augmentations au cours des 12 dernières années, y compris une augmentation de 41,6 % depuis 2020.(IBM)
- Pourtant, 16 % des prestataires de soins de santé déclarent avoir mis en place un programme de sécurité "pleinement fonctionnel"(Chimecentral).
- Le secteur de la santé devrait dépenser 125 milliards de dollars en cybersécurité pour la période de cinq ans allant de 2020 à 2025.(Cybersecurity Ventures)
- 82% des organismes de soins de santé déclarent que la sécurité est une préoccupation majeure.(Purplesec)
Cyberattaques contre les entreprises pharmaceutiques
À l'instar du secteur de la santé, l'industrie pharmaceutique a également été durement touchée par la cybercriminalité au cours des dernières années, et rien n'indique que les attaques vont se ralentir de sitôt.
- Des études suggèrent que 53 % des violations de données dans les entreprises pharmaceutiques ont été causées par des activités malveillantes(Biopharma).
Il suffit de regarder le pourcentage de données perdues et l'impact sur tout le monde, depuis les personnes travaillant dans le secteur jusqu'aux patients qui tentent d'accéder à leurs portails en ligne :
- 28% des entreprises pharmaceutiques ont perdu des données vitales ou de la propriété intellectuelle.(Fortinet)
- 40 % des entreprises pharmaceutiques ont connu des pannes qui ont affecté leur productivité, leur sécurité, leur conformité, leur chiffre d'affaires et/ou leur image de marque.(Fortinet)
Les intrusions dans les entreprises pharmaceutiques se seraient déroulées de la manière suivante(Fortinet) :
- 40 % d'atteintes à la sécurité mobile
- 37% phasage
- 36 % ont piraté un dispositif de stockage amovible/un média
- 35 % des pirates ont utilisé les techniques SQL, zero-day et man-in-the-middle.
Les entreprises pharmaceutiques manipulent et stockent des quantités massives d'informations hautement sensibles et confidentielles. Cette industrie, qui pèse des milliards de dollars, est un véritable trésor pour les cybercriminels.
Il faut consacrer plus de temps à la formation des employés, à la mise en place des meilleures pratiques en matière de sécurité et à la sensibilisation générale à la cybersécurité, faute de quoi le secteur continuera à être victime de la criminalité numérique.
Cyberattaques contre les institutions financières
Les institutions financières doivent également commencer à améliorer leur cybersécurité, sinon ce secteur continuera à être touché par les menaces et les attaques en ligne.
- Les sociétés financières ont connu une augmentation de 238% des cyberattaques au cours du premier semestre 2020.(Upguard)
- De plus, selon HubSecurity, le coût des cyberattaques contre ces entreprises s'élève à plus de 18,3 millions de dollars par an.
Ci-dessous, vous trouverez quelques statistiques plus approfondies soulignant l'impact considérable de la cybercriminalité sur les institutions financières :
- 90% des institutions financières ont subi une attaque par ransomware en 2020.(HubSecurity)
- Le gain financier est à l'origine de 86 % des violations de données, selon une étude de Verizon.(CNN)
- 30 % des institutions financières considèrent les attaques d'États-nations comme une préoccupation majeure.(Purplesec)
Cyberattaques contre les gouvernements et l'armée
Il est important de rappeler que la cybercriminalité n'a pas de frontières ni de limites, et que les attaquants s'en prennent même aux entités gouvernementales et aux agences militaires.
- En 2022, le secteur gouvernemental et militaire a subi 1 564 attaques par semaine, soit une augmentation de 20 % par rapport à 2021.(Checkpoint)
Ce taux croissant suggère que les entreprises, les individus et les dirigeants doivent prendre la cybersécurité, la prévention, la formation et les meilleures pratiques beaucoup plus au sérieux. C'est maintenant qu'il faut se préparer, quel que soit le secteur d'activité.
Quelles sont les dernières statistiques sur les cyberattaques géolocalisées ?
Après avoir pris connaissance de toutes ces données, on peut se demander où diable toutes ces cyberattaques ont lieu. La réponse est simple : presque partout. Presque partout.
Dans les sections suivantes, nous examinons les statistiques des États-Unis, puis nous décomposons les taux par pays dans le reste du monde.
Statistiques sur la cybercriminalité aux États-Unis
Les États-Unis connaissent chaque année un nombre élevé de cas de cybercriminalité, qui touchent à la fois les chefs d'entreprise et les consommateurs.
Voici un bref aperçu du nombre de cyberattaques qui touchent les États-Unis en moyenne :
- 30 819 cyberattaques ont été signalées par les agences fédérales américaines.(Statista)
- Le principal obstacle à la mise en place d'un programme de cybersécurité efficace aux États-Unis est l'absence d'un budget solide alloué à la cybersécurité par le Congrès.(Statista)
- 26,3 % des attaques de cyberguerre sont dirigées contre les États-Unis.(Statista)
En ce qui concerne les États, certains endroits subissent beaucoup plus d'attaques que d'autres, les criminels ciblant principalement les zones métropolitaines très étendues et très peuplées, comme la Californie et le Texas.
Ci-dessous, vous trouverez les 10 premiers États en fonction du nombre moyen de victimes de la cybercriminalité(IC3) :
- Californie - 80 766
- Floride - 42 792
- Texas - 38 666
- New York - 25 112
- Illinois - 14 786
- Pennsylvanie - 14 741
- Ohio - 13 659
- Michigan - 13 566
- Arizona - 12 112
- Virginie - 11 882
Presque tous ces États figurent également dans la liste des dix États américains où le montant moyen des dommages subis par les victimes est le plus élevé, à l'exception de la Virginie et du Michigan, qui disparaissent de la liste et sont remplacés par l'Alabama et la Géorgie.
Voir la liste complète ci-dessous(IC3) :
- Californie - 2 012,8 millions de dollars
- Floride - 844,9 millions de dollars
- New York - 777 millions de dollars
- Texas - 763,1 millions de dollars
- Géorgie - 322,6 millions de dollars
- New Jersey - 284,6 millions de dollars
- Illinois - 266,7 millions de dollars
- Pennsylvanie - 250,9 millions de dollars
- Alabama - 247,9 millions de dollars
- Arizona - 241,1 millions de dollars
Statistiques mondiales sur la cybercriminalité
Ensuite, nous examinons le nombre moyen de victimes et les pertes accumulées dans différents pays du monde.
Les États-Unis sont le pays où le pourcentage de citoyens inquiets d'être victimes de la cybercriminalité est le plus élevé, comme le montrent les données ci-dessous(Norton).
- Etats-Unis - 88%
- Australie - 87
- Royaume-Uni - 83
- Nouvelle-Zélande - 79
- France - 78
- Japon - 77
- Inde - 75%
- Italie - 73
- Pays-Bas - 73
- Allemagne - 70
Cette inquiétude est logique, car les États-Unis sont aussi le pays où les pertes sont les plus coûteuses par rapport à d'autres pays.
Il suffit de jeter un coup d'œil au tableau ci-dessous, qui montre les pays où le coût moyen des violations de données sera le plus élevé en 2022 et 2021, selon IBM.
| Pays | 2022 | 2021 |
| États-Unis | 9,44 millions de dollars | 9,05 millions de dollars |
| Moyen-Orient | 7,46 millions de dollars | 6,93 millions de dollars |
| Canada | 5,64 millions de dollars | 5,4 millions de dollars |
| Royaume-Uni | 5,05 millions de dollars | 4,67 millions de dollars |
| Allemagne | 4,85 millions de dollars | 4,89 millions de dollars |
| Japon | 4,57 millions de dollars | 4,69 millions de dollars |
| France | 4,34 millions de dollars | 4,57 millions de dollars |
| Italie | 3,74 millions de dollars | 3,61 millions de dollars |
| Corée du Sud | 3,57 millions de dollars | 3,68 millions de dollars |
| Afrique du Sud | 3,36 millions de dollars | 3,21 millions de dollars |
| Australie | 2,92 millions de dollars | 2,82 millions de dollars |
| ANASE | 2,87 millions de dollars | 2,71 millions de dollars |
| Amérique latine | 2,8 millions de dollars | 2,56 millions de dollars |
| Inde | 2,32 millions de dollars | 2,21 millions de dollars |
| Scandinavie | 2,08 millions de dollars | 2,67 millions de dollars |
| Brésil | 1,38 million de dollars | 1,09 million de dollars |
| Turquie | 2,32 millions de dollars | 1,61 million de dollars |
Vous trouverez ci-dessous une ventilation complète du nombre moyen d'heures consacrées à la résolution des problèmes de cybercriminalité par pays(Norton) :
- Inde - 10,8 heures
- Allemagne - 9,1 heures
- Italie - 8,7 heures
- Australie - 8,2 heures
- États-Unis - 6,7 heures
- Japon - 5,9 heures
- France - 5,5 heures
- Royaume-Uni - 4,4 heures
- Pays-Bas - 3,9 heures
- Nouvelle-Zélande - 3,7 heures
Mais le pays ayant le pourcentage le plus élevé d'adultes estimant ne pas savoir comment se protéger de la cybercriminalité est en fait le Japon, suivi de l'Italie et de la France. Comparez les 10 premiers pays de cette liste ci-dessous, selon Norton:
- Australie - 47
- France - 63
- Allemagne - 49
- Inde - 52
- Italie - 64
- Japon - 77
- Pays-Bas - 44
- Nouvelle-Zélande - 47
- Royaume-Uni - 46
- États-Unis - 40%
En fin de compte, l'endroit où vous vivez n'a pas d'importance. La cybercriminalité n'a pas de frontières et sévit sur presque tous les continents.
Commencez dès aujourd'hui à vous préparer à vous protéger ou à protéger votre entreprise, et évitez de faire partie des données qui figurent sur des listes comme celles-ci.
Comment les chefs d'entreprise et les cadres supérieurs hiérarchisent-ils la cybersécurité selon les statistiques ?
Les chefs d'entreprise et les cadres non chefs d'entreprise sont légèrement déconnectés du degré de préparation et de soutien de leur entreprise et des investisseurs.
- 41 % des dirigeants d'entreprise considèrent la cyber-résilience comme une propriété commerciale établie, alors que seulement 13 % des dirigeants axés sur la sécurité considèrent la cyber-résilience comme une priorité établie.(Weforum)
- 92 % des dirigeants d'entreprise estiment que la cyber-résilience est intégrée dans leurs stratégies de gestion des risques, contre 55 % des dirigeants axés sur la sécurité . (Weforum)
- 11% des dirigeants d'entreprise estiment que les réglementations ont la plus grande influence sur leur approche de la cybersécurité, tandis que 20% des dirigeants axés sur la sécurité sont de cet avis.(Weforum)
Pour mieux mettre en évidence l'écart entre les chefs d'entreprise et les autres, consultez le tableau ci-dessous, qui compare d'autres points de vue sur le soutien cybernétique(PWC).
| Conviction en matière de cybersécurité | Les chefs d'entreprise qui sont d'accord | cadres non-dirigeants qui sont d'accord |
| Croire qu'ils garantissent des ressources et un financement adéquats, ainsi qu'une priorité suffisante. | 37% | 30% |
| Croire qu'ils se connectent en toute confiance avec les clients et les partenaires commerciaux. | 36% | 30% |
| Croire qu'ils intègrent le cyberespace et la protection de la vie privée dans les opérations et les décisions clés des organisations. | 34% | 30% |
| Croire qu'ils réduisent l'incertitude des investisseurs face à l'augmentation des cyber-risques. | 34% | 29% |
| Croire qu'ils inspirent l'équipe de sécurité et augmentent leur satisfaction professionnelle. | 33% | 28% |
| Croire qu'ils clarifient les rôles et les responsabilités des équipes interfonctionnelles dans le domaine de la cybernétique. | 32% | 28% |
| Croire qu'ils créent une culture de la cyber-compétence dans l'ensemble de l'organisation. | 31% | 30% |
| Croire qu'ils clarifient les positions en cas de tensions et de conflits entre des valeurs concurrentes. | 30% | 28% |
La bonne nouvelle ?
- Selon PWC, 46 % des organisations font état d'un engagement accru des PDG dans les questions de cybersécurité.
En outre, il semble que la formation des employés en matière de cybersécurité soit de plus en plus répandue, comme en témoignent les statistiques :
- 43 % des organisations signalent une augmentation du taux de signalement des employés lors des tests d'hameçonnage.(PWC)
- 43 % des organisations signalent une augmentation du nombre d'évaluations de la cybernétique et de la protection de la vie privée avant la mise en œuvre d'un projet.(PWC)
- 43% des organisations déclarent avoir amélioré la gestion des exceptions à la politique de sécurité.(PWC)
- 43 % des organisations déclarent consacrer plus de temps aux discussions sur la cybersécurité lors des réunions du conseil d'administration.(PWC)
- 42% des organisations font état d'une meilleure évaluation de la compréhension des questions cybernétiques par leur conseil d'administration.(PWC)
- 42 % des organisations signalent un alignement accru de la cyberstratégie sur la stratégie de l'entreprise.(PWC)
- 41% des organisations signalent une augmentation du pourcentage de mesures correctives des risques globaux prises par leurs équipes de sécurité dans les délais impartis.(PWC)
Comment les entreprises mettent-elles en place des équipes et des infrastructures de cybersécurité selon les statistiques ?
La cybercriminalité fait également payer un lourd tribut au personnel et à l'infrastructure des entreprises.
- D'après une étude menée par Weforum, 47 % des cyberdirigeants déclarent avoir des lacunes en matière de formation et de compétences.
Vous trouverez ci-dessous une liste des principales préoccupations personnelles des cyberdirigeants en matière de cybersécurité(Weforum) :
- 42% d' effondrement de l'infrastructure suite à une cyberattaque
- 24% vol d'identité
- 20% d' attaques de ransomware
- 10 % de perte de biens personnels à la suite d'une cyberattaque
- 4% autres
L'IA, l'automatisation et l'apprentissage automatique devraient avoir la plus grande influence sur la transformation de la cybersécurité au cours des deux prochaines années ( 48 %), tandis que les environnements de travail distants/hybrides devraient avoir une influence de 28 % sur la transformation de la cybersécurité.(Weforum)
- Actuellement, les entreprises dotées d'une IA et d'une automatisation complètes de la sécurité ont besoin de 74 jours de moins en moyenne pour identifier et contenir une violation de données.(IBM)
D'autres approches apparemment fructueuses pour améliorer la cybersécurité sur le lieu de travail consistent à simplifier divers processus et procédures. Jetez un coup d'œil aux données rapportées par PWC:
- 35% des organisations ont défini une nouvelle combinaison de travail à distance/virtuel et sur site
- 33% des organisations ont réorganisé leurs fonctions et leurs méthodes de travail
- 32% des organisations ont consolidé leurs fournisseurs de technologie
- 32% des organisations ont créé un cadre intégré de gouvernance des données
- 31% des organisations ont automatisé les processus standard et répétitifs
- 31% des organisations ont créé un tableau de bord intégré pour les indicateurs clés
- 30 % des organisations ont défini ou réaligné la combinaison de ressources internes et de services gérés.
- 30 % des organisations ont rationalisé leurs technologies, y compris la mise hors service des technologies existantes.
- 27% des organisations ont supprimé les redondances dans les processus
Voici quelques statistiques supplémentaires montrant la nécessité d'adopter des approches différentes en matière de cybersécurité et quelques changements d'infrastructure qui, selon les entreprises, les ont aidées à renforcer leurs efforts :
- 57 % des travailleurs à distance déclarent se sentir plus distraits lorsqu'ils travaillent à la maison qu'au bureau.(Tessian)
- 76 % des cyberdirigeants déclarent avoirrecours à des pratiques de cyberrésilience.(Weforum)
- 25 % des candidats à un emploi dans le domaine de la cybersécurité n'ont pas les compétences techniques requises.(Dizzion)
- 27 % des employeurs déclarent ne pas pouvoir pourvoir leurs postes dans le domaine de la cybersécurité.(Dizzion)
- 41 % des organisations ont un modèle de sécurité "zéro confiance". Les 59% qui n'ont pas de modèle de confiance zéro subissent plus d'un million de dollars en coûts de plage par rapport à ceux qui en ont un.(IBM)
- 79% des organisations d'infrastructures critiques n'emploient pas un modèle de sécurité de confiance zéro et subissent un coût supplémentaire de 5,4 millions de dollars en cas de violation de données.(IBM)
- Près de 75 % des organisations disposent d'un plan d'intervention en cas d'incident et 63 % déclarent tester ce plan régulièrement.(IBM)
- Les entreprises disposant d'un plan de réponse aux incidents testé régulièrement ont économisé plus de 2,66 millions de dollars en coûts de violation par rapport à celles qui n'ont pas de plan.(IBM)
- 38% des organisations ont déclaré queleurs équipes de sécurité étaient suffisamment dotées en personnel, tandis que 62% ont déclaré que leurs équipes étaient insuffisamment dotées en personnel.(IBM)
Selon des données récentes, dans quelle mesure les petites entreprises sont-elles vulnérables aux cyberattaques ?
De nombreuses petites entreprises pensent à tort qu'elles sont trop petites pour être victimes d'une attaque de cybersécurité, mais cela en fait des cibles plus faciles pour les pirates et autres cybercriminels qui savent qu'elles n'ont probablement pas de systèmes de sécurité robustes en place.
Vous trouverez ci-dessous des données qui montrent exactement combien de petites entreprises sont victimes d'une violation ou d'une cyberattaque par rapport à leurs attentes.
- 59% des petites entreprises n'ont pas pris de mesures pour repousser les attaques de cybersécurité parce qu'elles estiment que leur entreprise est "trop petite" pour être une cible.(Digital.com)
- Mais 43 % des cyberattaques concernent des petites entreprises.(SmallBizTrends)
Les cybercriminels s'attaquent souvent à des entreprises nouvellement constituées qui se concentrent sur la recherche de capitaux, la gestion des opérations et le développement des fonds nécessaires à la localisation et à la publicité - en d'autres termes, des petites entreprises qui n'ont pas d'assurance cybernétique et qui sont trop occupées pour prêter attention aux menaces tendancielles dans leur secteur.
Voici quelques statistiques montrant comment l'insécurité des pratiques des petites entreprises en matière de cybersécurité contribue aux attaques numériques :
- 51% des petites entreprises n'ont pas mis en place d'opérations contre les attaques de cybersécurité.(Digital.com)
- 69% des petites entreprises n'appliquent pas strictement leur politique en matière de mots de passe.(Purplesec)
Approches organisationnelles de la cybersécurité
Les experts s'accordent à dire qu'il est plus que temps pour les entreprises d'investir dans de meilleurs protocoles et pratiques de cybersécurité. Selon les données, certaines organisations prévoient de mettre en œuvre ou ont déjà mis en œuvre des cyberinvestissements qui contribuent à réduire le risque de subir une attaque.
Ci-dessous, nous comparons le pourcentage d'organisations qui prévoient de mettre en œuvre les types de plans cybernétiques suivants à l'avenir(PWC):
- Sécurité de l'informatique en nuage - 45
- Formation à la sensibilisation à la sécurité et formation polyvalente aux opérations de sécurité - 46%.
- Sécurité des points d'accès - 46
- Services de sécurité gérés - 46
- Capacités de renseignement sur les menaces en temps réel - 49
- Planification de la continuité des activités et de la reprise après sinistre - 47%.
- Gestion de l'identité et de l'accès à l'entreprise - 48
- Gestion de l'identité et de l'accès des consommateurs - 48
- Cadre de gouvernance de l'information à l'échelle de l'entreprise - 50
- Accès défini par logiciel - 48
- Processus de gestion des risques par des tiers - 51
- Confiance zéro - 52%.
Comparez ces chiffres au pourcentage d'organisations énumérées ci-dessous qui ont déjà exécuté les mêmes procédures à l'échelle réelle(PWC) :
- Sécurité de l'informatique en nuage - 35
- Formation à la sensibilisation à la sécurité et formation polyvalente aux opérations de sécurité - 36%.
- Sécurité des points finaux - 35
- Services de sécurité gérés - 33
- Capacités de renseignement en temps réel sur les menaces - 33%.
- Planification de la continuité des activités et de la reprise après sinistre - 34%.
- Gestion de l'identité et de l'accès à l'entreprise - 32
- Gestion de l'identité et de l'accès des consommateurs - 33
- Cadre de gouvernance de l'information à l'échelle de l'entreprise - 32
- Accès défini par logiciel - 33
- Processus de gestion des risques par des tiers - 32%.
- Confiance zéro - 28%.
Mais la question se pose toujours de savoir si ces procédures permettent réellement de renforcer la sécurité des entreprises lorsqu'elles opèrent en ligne.
Ci-dessous, le pourcentage d'organisations qui déclarent que leurs investissements cybernétiques ont été bénéfiques sur la base des mêmes procédures que celles énumérées ci-dessus(PWC):
- Sécurité de l'informatique en nuage - 16
- Formation à la sensibilisation à la sécurité et formation polyvalente aux opérations de sécurité - 16%.
- Sécurité des points finaux - 16
- Services de sécurité gérés - 15
- Capacités de renseignement en temps réel sur les menaces - 15
- Planification de la continuité des activités et de la reprise après sinistre - 15
- Gestion de l'identité et de l'accès à l'entreprise - 14
- Gestion de l'identité et de l'accès des consommateurs - 14% .
- Cadre de gouvernance de l'information à l'échelle de l'entreprise - 14
- Accès défini par logiciel - 14
- Processus de gestion des risques par des tiers - 12
- Confiance zéro - 11
Face à la menace croissante d'être victime de nouvelles cyberattaques sophistiquées, les entreprises doivent évaluer leurs mesures de sécurité défensives et déterminer si elles doivent être améliorées et comment. De même, celles qui ne disposent pas de mesures de sécurité doivent envisager de les mettre en œuvre.
Plus la prise de conscience s'accroît et plus les gens comprennent les subtilités de ces menaces, plus ils sont en mesure d'élaborer des procédures préventives.
Quelles sont les dernières statistiques sur les cyberattaques publiées par l'Internet Crime Complaint Center (IC3) ?
Le Federal Bureau of Investigation(FBI) a créé l'Internet Crime Complaint Center(IC3) en 2000.
Depuis sa création, l'IC3 a reçu des plaintes concernant la cybercriminalité dans de nombreux domaines, tels que la fraude en ligne, le piratage informatique, les problèmes de droits de propriété intellectuelle, le vol de secrets commerciaux, l'extorsion en ligne, le blanchiment d'argent international, l'usurpation d'identité, et bien d'autres encore(IC3).
La bonne nouvelle ?
Il s'est rapidement transformé en un moyen facile et sûr pour les particuliers et les entreprises de déposer des plaintes et de chercher à remédier à la situation. L'IC3 permet également d'alerter le FBI sur la possibilité d'une cybercriminalité élaborée en cours de préparation.
Cette section présente quelques statistiques sur la cybercriminalité que l'IC3 a recueillies dans ses rapports annuels de 2022 et 2021.
Le tableau ci-dessous présente le nombre de plaintes reçues par IC3 au cours des six dernières années, ainsi que les coûts totaux associés à chaque année correspondante(IC3) :
| Année | Plaintes | Coût |
| 2022 | 800,944 | 10,3 milliards de dollars |
| 2021 | 847,376 | 6,9 milliards de dollars |
| 2020 | 791,790 | 4,2 milliards de dollars |
| 2019 | 467,361 | 3,5 milliards de dollars |
| 2018 | 351,937 | 2,7 milliards de dollars |
| 2017 | 301,580 | 1,4 milliard de dollars |
- Notamment, en 2022, le nombre de plaintes signalées a diminué de 5 %, mais les pertes en dollars ont augmenté de 49 %(IC3), un montant considérable qui laisse penser que les victimes de ces délits numériques continueront à subir des pertes plus importantes chaque année.
N'oubliez pas que les cyberattaques n'impliquent pas toutes des fuites de données. Pour de nombreuses personnes, le crime est beaucoup plus personnel.
Il suffit de jeter un coup d'œil sur les types de délits en ligne signalés à l'IC3 en 2021 et 2022 :
- L'IC3 a reçu des rapports faisant état de 19 021 victimes d' escroqueries de confiance et d' escroqueries à la romance, pour un montant de plus de 735 millions de dollars de pertes.(IC3)
- Plus de 18 000 plaintes pour sextorsion ont été déposées auprès de l'IC3 en 2021, pour un montant total de 13,6 millions de dollars.(IC3)
- Les fraudes aux investissements dans les crypto-monnaies ont augmenté de 183 % entre 2021 et 2022, et les pertes sont passées de 907 millions à 2,57 milliards de dollars(IC3)
- En 2021, 34 202 plaintes ont été déposées auprès de l'IC3 concernant des crypto-monnaies (comme le Bitcoin, l'Ethereum, le Litecoin ou le Ripple), totalisant 1,6 milliard de dollars de pertes.(IC3)
- En 2022, 32 538 plaintes ont été déposées auprès de l'IC3 pour fraude à l'assistance technique, entraînant des pertes de plus de 806 millions de dollars. Il s'agit d'une augmentation significative par rapport aux 23 903 plaintes ayant entraîné des pertes de 347 millions de dollars l'année précédente. Les victimes se trouvent dans 70 pays différents.(IC3)
Contrairement à ce que l'on pourrait croire, n'importe qui, quel que soit son milieu, peut être victime de ce type d'activité criminelle.
Le tableau ci-dessous compare les victimes d'infractions commises sur l'internet en fonction de l'âge et indique les pertes moyennes en dollars américains pour 2022 et 2021, telles qu'elles ont été enregistrées par l'IC3.
| L'âge | Plaintes (2022) | Pertes (2022) | Plaintes (2021) | Pertes (2021) |
| Moins de 20 ans | 15,782 | 210,5 millions de dollars | 14,919 | 101,4 millions de dollars |
| 20-29 ans | 57,978 | 383,1 millions de dollars | 69,390 | 431,1 millions de dollars |
| 30-39 ans | 94,506 | 1,3 milliard de dollars | 88,448 | 937,3 millions de dollars |
| 40-49 ans | 87,526 | 1,6 milliard de dollars | 89,184 | 1,19 milliard de dollars |
| 50-59 ans | 64,551 | 1,8 milliard de dollars | 74,460 | 1,26 milliard de dollars |
| 60+ ans | 88,262 | 3,1 milliards de dollars | 92,371 | 1,68 milliard de dollars |
Nous avons également dressé une liste des types de cybercrimes dont les victimes sont victimes chaque année, selon l'IC3, que vous pouvez consulter dans le tableau ci-dessous.
| Type de cybercriminalité | Victimes (2022) | Victimes (2021) |
| Phishing/Vishing/Smishing/Pharming | 300,497 | 323,972 |
| Non-paiement/non-livraison | 51,679 | 82,478 |
| Violation de données personnelles | 58,859 | 51,829 |
| Vol d'identité | 27,922 | 51,629 |
| Extorsion | 39,416 | 39,360 |
| Confiance Fraude/Romance | 19,021 | 24,299 |
| Support technique | 32,538 | 23,903 |
| Investissement | 30,529 | 20,561 |
| BEC/EAC | 21,832 | 19,954 |
| Spoofing | 20,649 | 18,522 |
| Fraude à la carte de crédit | 22,985 | 16,750 |
| Emploi | 14,946 | 15,253 |
| Autres | 9,966 | 12,346 |
| Terrorisme/menaces de violence | 2,224 | 12,346 |
| Immobilier/Location | 11,727 | 11,578 |
| Usurpation d'identité | 11,554 | 11,335 |
| Frais avancés | 11,264 | 11,034 |
| Trop-perçu | 6,183 | 6,108 |
| Loterie/Sweepstakes/Héritage | 5,650 | 5,991 |
| DPI/droits d'auteur et contrefaçon | 2,183 | 4,270 |
| Ransomware | 2,385 | 3,729 |
| Crimes contre les enfants | 2,587 | 2,167 |
| Malware/Scareware/Virus | 762 | 810 |
Les augmentations les plus importantes des types de fraude concernent le spoofing, l'assistance technique et la fraude à la carte de crédit, qui ciblent tous davantage les particuliers que les entreprises.
Pour la plupart des entreprises, le meilleur moyen d'éviter ces attaques sournoises et ciblées consiste à sensibiliser davantage les employés et à mettre en œuvre des pratiques et des procédures de sécurité adéquates.
Que révèlent les données sur la cyberassurance ?
L'augmentation de la cybercriminalité a conduit de nombreuses entreprises à souscrire et à mettre en œuvre une cyber-assurance.
- Le marché mondial de la cyberassurance devrait atteindre 20,43 milliards de dollars d' ici 2027.(Networkassured)
- 60 % des entreprises reconsidéreraient la conclusion d'un accord avec une autre organisation si celle-ci ne disposait pas d'une cyber-assurance.(Blackberry)
- 68% des décideurs informatiques réévalueraient un accord en raison des pratiques de cybersécurité.(Blackberry)
Tout comme l'assurance automobile protège les conducteurs contre les écueils financiers d'un accident ou l'assurance contre la faute professionnelle médicale protège les médecins contre une opération chirurgicale bâclée, l'assurance cybernétique protège les particuliers et les entreprises contre les ravages économiques d'une cyberattaque.
- 98% des demandes d'assurance en matière de cybersécurité émanent de petites et moyennes entreprises dont le chiffre d'affaires annuel est inférieur à 2 milliards de dollars.(RSMUS)
- 55% des organisations ont une cyber-assurance, et moins de 20% d'entre elles ont une couverture supérieure à 600 000 dollars.(Blackberry)
Cependant, la cyber-assurance comporte ses propres pièges. Qu'elle soit trop coûteuse ou qu'elle n'offre pas une couverture suffisamment large, voici quelques statistiques intéressantes sur la couverture de la cyber-assurance :
- 94% des personnes ayant souscrit une cyber-assurance déclarent que le processus de demande de couverture a changé(Sophos)
- 34% estiment que la cyberassurance est plus chère(Sophos)
- 47% déclarent que les polices d'assurance cybernétique sont plus compliquées(Sophos)
- 40% déclarent que peu d'entreprises proposent une cyber-assurance(Sophos)
- 37% déclarent que le processus de demande d'une cyber-assurance prend plus de temps qu'auparavant(Sophos)
- 54% déclarent avoir besoin de se qualifier pour des niveaux plus élevés de cybersécurité(Sophos)
Quels sont les conseils des experts en matière de cybersécurité ?
Vous vous demandez peut-être, surtout après avoir pris connaissance de ces données, s'il est possible de vous protéger, en tant que consommateur ou entreprise, contre les cyberattaques. La bonne nouvelle, c'est que vous pouvez apprendre à vous protéger et à protéger vos informations en ligne en renforçant votre cyber-résilience.
Nous avons interrogé les experts :
Quel conseil donneriez-vous aux entreprises pour renforcer leur cybersécurité ?
Ana Ferreira, PhD, CISSP, HCISPP
Donnez à vos employés des connaissances en matière de cybersécurité, mais faites-leur également prendre conscience de la responsabilité et de l'impact qu'ils ont dans la protection proactive non seulement de l'entreprise, mais aussi d'eux-mêmes et de leur vie privée, ce qui peut également, en fin de compte, avoir un impact sur leur intégrité physique et mentale.
Richard Bejtlich
Le seul conseil que je donnerais aux entreprises pour améliorer leur sécurité est de "surveiller comme si vous étiez déjà compromis parce que vous l'êtes probablement". En d'autres termes, ne vous contentez pas de vous préparer aux intrusions, mais cherchez les intrus qui exploitent déjà vos actifs.
Adam Levin
Vous devez investir dans votre cybersécurité si vous voulez l'améliorer. Cela implique de former les employés, en particulier ceux qui ont accès à des données sensibles. Cela signifie qu'il faut sacrifier la commodité et exiger des mots de passe forts et uniques ainsi qu'une authentification multifactorielle. Cela signifie qu'il faut payer pour des applications de gestion de mots de passe et des authentificateurs, des dispositifs spécifiques au travail, des iLoks, des audits de sécurité réguliers et le maintien d'un environnement de confiance zéro. Rien de tout cela n'est gratuit ou facile comme une mauvaise hygiène des mots de passe - mais c'est beaucoup plus abordable que de se faire pirater.
Steve Morgan
Toutes les entreprises, quelles que soient leur taille et leur nature, devraient agir comme si elles allaient être frappées par une cyberattaque demain. Beaucoup trop d'entreprises croient encore que cela ne leur arrivera pas. Lorsque cela se produit, il est trop tard.
Bob Carver - CISM, CISSP, MS
Indépendamment de ces statistiques, l'élaboration d'un programme de gestion des risques liés à la cybersécurité pour les entreprises s'apparente à la confection d'un costume sur mesure ou d'une robe très ajustée. Il n'y a pas de taille unique. De nombreux facteurs doivent être pris en compte en fonction des besoins spécifiques, de la tolérance au risque et des disponibilités budgétaires de l'entreprise. Il n'y a pas non plus de solution unique en matière de gestion des risques. Il s'agit d'un processus continu de réévaluation et de mise à jour de votre programme en conséquence.
Chuck Brooks
Dans le contexte actuel de menaces sophistiquées, la cybersécurité ne peut plus être considérée comme une question secondaire si les entreprises veulent survivre et prospérer. Il existe plusieurs voies à suivre en matière de gestion des cyberrisques pour combler les lacunes et renforcer les défenses. La complaisance face à des menaces croissantes n'en fait pas partie.
La compréhension et la création d'une stratégie opérationnelle efficace en matière de cybersécurité dépendent en fait d'une formule yin et yang - vous avez besoin des techniciens qui comprennent les défis du secteur du point de vue de l'ingénierie, et vous avez besoin des cadres qui dirigent le département P&L pour faciliter les opérations et les efforts de mise sur le marché, afin d'approuver un plan clairement défini. Les thèmes du cadre devraient inclure la protection des données, la propriété intellectuelle de l'entreprise et la mise en place d'une gouvernance.
En termes de C-Suite, quel est le prix à payer pour rester en activité ? En termes de technologies de l'information, il peut s'agir de composantes opérationnelles de cryptage, de biométrie, d'analyses plus intelligentes, de sécurité automatisée des réseaux, de logiciels de gestion des risques, de cybercertifications et de formation, de surveillance des réseaux et d'intégration de technologies matérielles/logicielles en couches NextGen pour le réseau d'entreprise, la charge utile et la sécurité des points d'extrémité. En outre, la gestion de l'accès et de l'identité des appareils connectés doit être renforcée et appliquée au moyen de nouveaux protocoles et processus.
Vous avez vu les données et entendu les experts - si vous n'investissez pas déjà dans les meilleures pratiques de cybersécurité pour votre entreprise, vous risquez une attaque.
Le coût de ces crimes numériques ne cesse d'augmenter chaque année, et rien ne laisse présager un ralentissement prochain.
Avec un nombre croissant de personnes opérant en ligne, les consommateurs et les entreprises doivent s'efforcer de se former, de mettre en œuvre des mesures de sécurité et de protéger leurs mots de passe, leurs identifiants de connexion et leurs informations personnelles dans la sphère numérique.
Profitez de la croissance du marché de la cybersécurité et investissez dans des outils et des modèles de sécurité pour tenir compte de la sophistication croissante de la cybercriminalité. Le fait de ne pas être attaqué ou de raccourcir le cycle de vie d'une brèche en vaut la peine.
En savoir plus sur l'auteur
Écrit par Masha Komnenic CIPP/E, CIPM, CIPT, FIP
Masha est spécialiste en sécurité de l'information et en protection des données, ainsi que déléguée à la protection des données certifiée. Depuis six ans, elle aide les petites et moyennes entreprises à se conformer aux réglementations et accompagne de nombreux accélérateurs internationaux en tant que mentor en conformité. Elle est spécialisée dans la mise en œuvre, le suivi et l’audit de la conformité des entreprises aux réglementations sur la protection des données (HIPAA, LPRDE, Directive ePrivacy, RGPD, CCPA, POPIA, LGPD). Masha a étudié le droit à l’Université de Belgrade et a obtenu son examen du barreau en 2016. En savoir plus sur l'auteur
