Les entreprises sont de plus en plus touchées par des incidents de cybersécurité chez les fournisseurs avec lesquels elles partagent des données, selon le récent rapport sur l'économie de la sécurité informatique de Kaspersky. Et cela peut coûter cher, comme le montrent les chiffres actuels.
L'impact financier moyen d'un incident pour une grande entreprise en Europe l'année dernière était de XNUMX millions de dollars US, ce qui en fait le type d'incident le plus coûteux.
Les données d'entreprise sont distribuées dans la pratique
Les données d'entreprise sont généralement réparties entre plusieurs tiers, y compris des prestataires de services, des partenaires, des fournisseurs et des affiliés. C'est pourquoi les cybercriminels les ciblent de plus en plus. Par conséquent, les organisations doivent tenir compte non seulement des risques de cybersécurité affectant leur propre infrastructure informatique, mais également de ceux qui peuvent provenir de l'extérieur de leur propre organisation.
Selon l'enquête de Kaspersky, plus d'un quart (28%) des grandes entreprises en Europe ont été touchées par des attaques contre les données partagées avec les fournisseurs. Ce nombre n'a pas beaucoup changé depuis 2020, alors qu'il était de 29 %. L'impact financier est également le même que l'an dernier, soit deux millions de dollars.
Le scénario d'attaque a changé
La plupart des autres types d'attaques ont des impacts financiers moindres, notamment la perte physique d'appareils appartenant à l'entreprise (1,2 million de dollars), les attaques de cryptominage (1,2 million de dollars) ou la mauvaise utilisation des ressources informatiques par les employés (1,2er XNUMX million de dollars américains).
Par exemple, l'impact financier moyen d'une attaque contre une entreprise européenne était de 1,1 million de dollars en 2021 contre 839.000 2020 dollars en 1,09. Cependant, il a diminué à l'échelle internationale : de 2020 million de dollars en 927.000 2021 à XNUMX XNUMX dollars en XNUMX. La raison possible de c'est que les investissements réalisés dans les mesures de prévention et de confinement portent désormais leurs fruits pour les entreprises.
Cependant, le coût moyen peut également avoir été impacté par le fait que les entreprises étaient moins susceptibles de signaler des violations de données cette année : selon l'enquête de Kaspersky, 41 % en Europe ont évité de le faire, contre seulement 2020 % en 33. Les entreprises financièrement vulnérables peuvent ne pas vouloir consacrer le temps et l'argent nécessaires à une enquête criminelle ou les dommages potentiels à leur réputation d'une violation divulguée publiquement.
Étendre les exigences de sécurité aux fournisseurs
"La gravité des attaques montre clairement que les entreprises doivent tenir compte du risque de violation de la loi sur la protection des données lorsqu'elles partagent des données avec des fournisseurs lors de l'évaluation de leurs propres exigences en matière de cybersécurité", commente Christian Milde, directeur général Europe centrale chez Kaspersky. "Les entreprises doivent classer leurs fournisseurs en fonction de la nature de leur travail et de la complexité de ce qu'ils reçoivent - qu'ils traitent ou non des données et des infrastructures sensibles - et mettre en œuvre les exigences de sécurité en conséquence. Ils doivent s'assurer qu'ils ne partagent les données qu'avec des tiers fiables et étendre leurs exigences de sécurité existantes aux fournisseurs. Dans le cas de données ou d'informations sensibles, cela signifie que toutes les documentations et certifications - telles que SOC2 - doivent être demandées aux fournisseurs pour confirmer qu'ils opèrent également à ce niveau. Dans les cas très sensibles, nous recommandons également de réaliser un audit préalable de conformité d'un fournisseur avant la signature d'un contrat.
Plus d'informations sur les coûts et budgets de la sécurité informatique pour les entreprises en 2021 sont disponibles avec le calculateur de sécurité informatique interactif de Kaspersky.
Plus sur Kaspersky.com
À propos de Kaspersky Kaspersky est une société internationale de cybersécurité fondée en 1997. L'expertise approfondie de Kaspersky en matière de renseignements sur les menaces et de sécurité sert de base à des solutions et des services de sécurité innovants pour protéger les entreprises, les infrastructures critiques, les gouvernements et les consommateurs du monde entier. Le portefeuille de sécurité complet de la société comprend une protection des terminaux de pointe et une gamme de solutions et de services de sécurité spécialisés pour se défendre contre les cybermenaces complexes et évolutives. Plus de 400 millions d'utilisateurs et 250.000 XNUMX entreprises clientes sont protégées par les technologies Kaspersky. Plus d'informations sur Kaspersky sur www.kaspersky.com/