Journal de l'économie

Envoyer à un ami
Version imprimable

Quels sont les coûts cachés des cyberattaques ?






Dans cet article écrit avec jeanne Leroy (1), nous nous intéressons aux coûts cachés des cyberattaques. En effet, les effets des cyberattaques peuvent être insidieux et durables, ce qui les rend difficile à mesurer avec précision. Les organisations doivent tenir compte de l'impact social des cyberattaques sur les consommateurs, collaborateurs et plus généralement l’ensemble des parties prenantes.


Quels sont les coûts cachés des cyberattaques ?

Désengagement des consommateurs

Les risques de cybersécurité ont érodé la confiance des consommateurs. Selon le rapport de Kapersky de 2021  sur les risques liés à la sécurité informatique des consommateurs, 62 % des consommateurs interrogés craignent que leurs activités en ligne soient constamment suivies par les sites web ou les services qu’ils utilisent. Au cours des 12 derniers mois, 12% des consommateurs ont réalisé que leurs données personnelles ont été partagées ou divulguées à leur insu. Selon l'enquête sur l'utilisation abusive des données réalisée par  Ping Identity, 81 % des personnes cesseraient de s'engager avec une marque en ligne à la suite d'une violation de données. Parmi ces dernières, 25 % cesseraient d'interagir avec la marque. De plus, 63 % des personnes confirment qu'une entreprise est toujours responsable de la protection des données des utilisateurs, même lorsque ceux-ci sont victimes d'escroqueries par hameçonnage ou utilisent des connexions Wi-Fi non cryptées.

Détresse psychologique des salariés victimes

Les utilisateurs sont appelés quotidiennement à prendre de nombreuses décisions liées à la sécurité, ce qui peut être une source d'anxiété. Ces comportements se traduisent de différentes manières : (a) ne pas ouvrir un courriel provenant d'un expéditeur qu'ils ne reconnaissent pas ; (b) ne pas accéder à des pièces jointes inconnues ; (c) télécharger et exécuter uniquement des programmes provenant de sources fiables ; (d) utiliser un logiciel antivirus et plusieurs logiciels de sécurité (par exemple, un pare-feu) ; et (e) créer des sauvegardes régulières. Certaines de ces décisions peuvent ainsi provoquer chez l'utilisateur un sentiment d'anxiété dû à un manque de connaissances sur les implications possibles de décisions incorrectes.

De plus, lorsque les salariés sont victimes de cyberattaques, ils peuvent subir un traumatisme émotionnel. Ils peuvent notamment entrer dans des phases de deuil et de souffrance. Par exemple, les victimes de fraude financière déclarent systématiquement que l'impact émotionnel est plus grave que l'impact financier, tout types de fraude confondus. A titre d’exemple, les salariés victimes des « attaques au président » peuvent s'accuser et développer un sentiment de honte.

Des chercheurs, tels que Gross, Canetti Vashdi (2016), vont jusqu’à établir un parallèle avec les répercussions psychologiques du terrorisme traditionnel.

Perturbation généralisée

Les impacts sociaux d'une cyberattaque peuvent également être évalués par les interruptions de service qu'elles provoquent. Selon la nature de la violation elle-même, ces interruptions peuvent être étendues ou localisées mais elles sont néanmoins réelles et coûteuses pour les personnes concernées. De manière encore plus généralisée, certaines attaques peuvent s’étendre à l’ensemble des parties prenantes d’une organisations (filiales, clients…).

L'attaque de l'entreprise Solarwinds  reste à ce jour l’exemple le plus manifeste, en impactant des organisations telles que le Pentagone, Microsoft ou encore Cisco. Elle montre l'ampleur des cyber-attaques dans les conflits géopolitiques et surtout la vulnérabilité des superpuissances nationales, même les mieux dotées. Le piratage Sunburst  met également en lumière le caractère insidieux et caché de ces cyberattaques qui peuvent sommeiller pendant deux semaines, bien cachées par les protections développées par les hackers (favorisant ainsi le déploiement du malware sur le réseau de la victime).

En conclusion

En conclusion, chaque partie prenante victime de la cyberattaque peut percevoir ou ressentir le préjudice différemment. L’ensemble des coûts associés à une cyberattaque doit être évalué en fonction des différents points de vue, ce qui entraîne l'existence de différentes "lentilles" pour examiner les cyber dommages.

Cette prise de recul est indispensable si les organisations veulent structurer de manière optimale leurs contrôles de cybersécurité, afin de minimiser les préjudices. Cela est d'autant plus pertinent que des technologies telles que l'internet des objets (IoT) et l'intelligence artificielle (IA) arrivent à maturité et se sont largement déployées dans les organisations.

Références

Gross Michael L. , Canetti D., Vashdi Dana R. (2016), "The psychological effects of cyber terrorism", vol. 72 (5), Bulletin of the Atomics Scientists.

Leroy J., Meier O. (2021), "Transformer la cybersécurité par la durabilité", Article ASAP, Juin.

Note

(1) Article d'Olivier Meier, Professeur des Universités, réalisé en collaboration avec Jeanne Le Roy, enseignante-chercheuse (Observatoire ASAP), spécialisée dans le champ du comportement organisationnel et de la cybersécurité.


Olivier Meier
Olivier Meier est Directeur de recherche au LIPHA Paris Est, visiting Professor au centre européen... En savoir plus sur cet auteur


Nouveau commentaire :
Twitter

Le JDE promeut la liberté d'expression, dans le respect des personnes et des opinions. La rédaction du JDE se réserve le droit de supprimer, sans préavis, tout commentaire à caractère insultant, diffamatoire, péremptoire, ou commercial.

France | International | Entreprises | Management | Lifestyle | Blogs de la rédaction | Divers | Native Advertising | Juris | Art & Culture | Prospective | Industrie immobilière | Intelligence et sécurité économique - "Les carnets de Vauban"













Rss
Twitter
Facebook