Les cyberattaques ont coûté deux milliards d’euros aux organisations françaises en 2022 (L’USINE DIGITALE)

C’est le premier chiffrage réalisé en France sur le coût des cyberattaques. Plus de 40% de cette somme est destinée au paiement de rançons.

Deux milliards d’euros. C’est le coût colossal des cyberattaques réussies sur les systèmes d’information des organisations françaises, selon une estimation réalisée par le cabinet d’études économiques Asterès pour le compte du CRiP, une association regroupant 13 000 responsables d’infrastructure et de technologie.

Ce chiffrage, “le premier en France”, selon Asterès, porte sur les intrusions dans les systèmes, les attaques par rançongiciel et celles par déni de service. Il inclut les dépenses liées à la résolution d’une attaque, les paiements de rançons et les interruptions de production. Il exclut les entreprises de moins de 250 salariés, ainsi que les communes de moins de 10 000 habitants.

888 millions d’euros de rançons

En s’appuyant sur une enquête menée auprès des adhérents du Crip et sur de précédentes estimations réalisées à l’étranger, Asterès chiffre le coût moyen d’une cyberattaque à 59 000 euros. Il atteint 225 000 euros, hors rançon, pour les grandes entreprises. “Par-delà les moyennes, les cyberattaques les plus significatives en 2022 ont probablement atteint un coût d’au moins 10 millions d’euros”, souligne par ailleurs l’étude.

Sur les deux milliards d’euros, les coûts directs représentent 887 millions d’euros. Il s’agit des dépenses ayant été nécessaires pour répondre à l’attaque, notamment le recours à des consultants externes en cybersécurité et en gestion du risque, ou encore la sollicitation d’avocats pour déposer plainte.

Le montant estimé des rançons est équivalent : 888 millions d’euros en 2022. Asterès s’appuie sur deux études. La première chiffre le versement moyen à 250 000 euros. Et la deuxième estime que 62% des organisations victimes d’une attaque par rançongiciel se sont résolues à payer.

385 000 attaques en 2022

Enfin, les cyberattaques ont généré 252 millions d’euros de pertes de production, liées à la paralysie des systèmes d’information, qui “limite pendant un certain temps la productivité des employés, voire les empêche totalement d’effectuer leurs tâches”. Ces pertes auraient pu être deux fois plus élevées car une partie de la production est “rattrapée par les salariés une fois la situation rétablie”, note Asterès.

Par ailleurs, Asterès estime le nombre de cyberattaques réussies à 385.000 l’an passé. Ce chiffre ne prend pas en compte les entreprises de moins de 10 employés et les municipalités de moins de 500 habitants. Cela représente en moyenne 1,8 attaque par organisation. L’an passé, seulement 831 attaques ont été portées à la connaissance de l’Anssi.

Plus nombreuses, les PME (moins de 250 employés) représentent l’immense majorité des cyberattaques réussies : 330 000. Les ETI (entre 250 et 5000 employés) et les grandes entreprises n’ont subi que 17 000 attaques réussies. Le reste a visé les organisations publiques.