Economiser sur la cybersécurité peut vous coûter cher
Pour beaucoup de chefs d’entreprise, la cybersécurité est avant tout un coût pour leur organisation. C’est pourquoi ils consacrent peu de ressources à ce poste de dépense. Pourtant, ils constatent ensuite à leurs dépens qu’ils vont devoir dépenser bien plus pour se remettre d’une cyberattaque.
Ransomwares, BEC (compromission d’e-mails), phishing et violation de données sont parmi les principales cybermenaces auxquelles les entreprises sont confrontées aujourd’hui.
Mais, malgré un certain nombre d’incidents médiatisés et leur coût spectaculaire pour les organisations victimes, de nombreux conseils d’administration hésitent encore à libérer un budget pour investir dans les mesures de cybersécurité nécessaires pour éviter de devenir la prochaine victime.
La prévention a un coût…
Le coût d’un cyberincident majeur comme une attaque par ransomware peut être plusieurs fois supérieur au coût de l’investissement dans le personnel et les procédures permettant d’éviter ces incidents, ce dont de nombreuses organisations ne se rendent compte que lorsqu’il est trop tard.
« Les organisations n’aiment pas dépenser de l’argent pour des mesures préventives. Pour éviter trop de dépenses, beaucoup d’organisations préfèrent attendre qu’un événement se produise. Mais elles doivent alors faire face à d’énormes dépenses pour y remédier », explique Chris Wysopal, cofondateur et directeur technique de la société de cybersécurité Veracode, à ZDNet.
C’est alors qu’elles réalisent qu’elles auraient pu dépenser moins si elles avaient empêché l’attaque, précise-t-il.
…les cyberattaques aussi
Dans le détail, l’entreprise victime d’une cyberattaque peut avoir à payer des millions de dollars aux attaquants pour obtenir la clé de déchiffrement de son réseau, s’il s’agit d’un ransomware – comme Colonial Pipeline. Sans compter les coûts supplémentaires liés à l’enquête, à la correction et à la restauration de l’infrastructure informatique de toute l’entreprise après l’incident.
« Les rançons payées par les entreprises, quand elles n’ont pas de cyberassurance qui prend en charge la rançon, pourraient servir à payer de nombreux professionnels de la cybersécurité. Et les taux des cyberassurances augmentent avec la menace, ce qui fait qu’elles coûtent de plus en plus cher aux organisations », souligne Chris Wysopal.
Même pour les organisations qui disposent d’une stratégie de cybersécurité à part entière, la formation, le recrutement et la fidélisation du personnel peuvent constituer un défi en raison de la pénurie de compétences dans le secteur.
Un problème de formation ?
Le problème de l’offre et de la demande ne sera pas résolu du jour au lendemain. Et, même si Chris Wysopal estime que l’investissement à long terme dans la cybersécurité est vital, d’autres mesures peuvent être prises pour attirer davantage le personnel qualifié en cybersécurité sur le marché du travail, afin de protéger son organisation contre les cyberattaques.
« J’aimerais que la cybersécurité fasse partie de la formation de tous les étudiants en informatique, afin qu’ils aient une certaine connaissance de la matière en tant que professionnels. Qu’il s’agisse de construire et de gérer des systèmes dans un environnement informatique ou de créer des logiciels », défend-il.
Si les professionnels de l’informatique et du développement avaient au moins une compréhension du secteur de la cybersécurité, ils pourraient aider les organisations, en particulier les plus petites, qui n’ont pas forcément la possibilité d’allouer un gros budget à la cybersécurité.
« Je fais vraiment pression pour que la cybersécurité fasse partie des programmes d’enseignement. Je travaille avec plusieurs collèges pour intégrer la matière au programme des formations en informatique », fait valoir Chris Wysopal.
Source : ZDNet.com
