Le prix d’une cyberattaque et les conséquences du non-respect du standard PCI DSS

Toutes les entreprises sont exposées au risque d’une cyberattaque, au point que la question n’est pas de savoir si elles seront attaquées, mais quand ? Une grande part de ces attaques vise les données personnelles dont les données bancaires. C’est pourquoi, mesurer les conséquences désastreuses d'une attaque est une première étape par laquelle toute organisation devrait passer.

Le risque lié aux attaques informatiques ne cesse de grandir. Et leur coût peut être considérable pour une entreprise, quelle que soit sa taille. Une étude réalisée par le Ponemon Institute a estimé le coût direct mondial annuel de la cybercriminalité sur les entreprises à 4,5 milliards d’euros jusqu’en 2022.

Concernant les petites et moyennes entreprises, qui sont la principale cible des cybercriminels, 60% de celles qui ont connu une infection majeure cessent leurs activités au bout de 6 mois, selon une étude américaine du SMB Group.

Le prix des données bancaires

Les brèches dans les systèmes d’information sont plus fréquentes qu’on ne le croit et exposent les entreprises à des risques de sécurité. D’autant plus que les malwares, qui sont les vecteurs de ces attaques, se vendent sur le Dark Web, l’Internet caché.

  • L’étude réalisée par PrivacyAffairs.com en 2020 dévoile que le prix d’un malware varie entre 70 et 6 000, en fonction de son efficacité et de sa diffusion. On présume que le retour sur investissement pour les pirates est acquis sur tous les malwares commercialisés. Et certains vendeurs de malwares vont jusqu’à assurer le support de leurs produits.

Les cyberattaques ciblent en priorité les données personnelles des collaborateurs et celles des clients des entreprises. Ces informations sont recherchées car elles permettent d’accéder aux comptes bancaires des propriétaires de cartes ou de revendre ces données sur les marchés noirs numériques.

  • Cette même étude révèle que le prix des données de cartes bancaires varie entre 12 à 65 dollars, en fonction du solde du compte concerné. Nous y apprenons également que 80% des cartes piratées sont associées à des comptes bancaires ouverts avec un solde positif.

Notons que les pirates ne ciblent pas seulement les données bancaires des clients des entreprises. Un compte PayPal se négocie entre 150 et 320 dollars selon le crédit disponible ; un compte de messagerie Gmail s’achète 155 dollars ; et un compte Facebook 75 dollars.

Le coût d’une fuite de données pour l’entreprise

Le cas des coûts de réémission

Il s’agit du coût supporté par les marques de cartes pour émettre une nouvelle carte bancaire suite à la compromission de la première. Dans la publication “Should Payment Card Issuers Reissue Cards in Response to a Data Breach?” nous apprenons que le coût de réémission des cartes est compris entre $3 à $25 par carte.

Ce coût qui est transféré aux banques est ensuite répercuté sur les au e-commerçants à travers une augmentation des tarifs ou des pénalités spécifiques en cas de non conformité au PCI DSS.

Le cas des cyberattaques

Les attaques se faisant de plus en plus sophistiquées, le coût d’une cyberattaque pour les entreprises ne cesse d’augmenter. En 2018, Accenture Security l’avait évalué en moyenne à 9,7 millions d’euros pour les entreprises françaises, avec une progression annuelle de 12%. Et nous l’avons évoqué, les PME ne sont pas épargnées, mais les conséquences sont beaucoup plus importantes pour elles.

A ce coût direct s’ajoutent des coûts cachés, qui dans le cadre des fuites de données bancaires peuvent se révéler très élevés, bien au-delà du seul aspect financier. L’image de l’entreprise est une valeur immatérielle difficile à évaluer, que la médiatisation d’un vol de données personnelles va très rapidement dégrader.

Les 14 coûts directs et indirects à prendre en compte pour évaluer les conséquences d’une cyberattaque :

Coûts financiers émergés, généralement connus :

  1. Les enquêtes techniques
  2. Les dépenses associées à l’information et au conseil des clients
  3. La mise en conformité réglementaire
  4. Les honoraires d’avocat et frais de justice
  5. La sécurisation des données client post-incident
  6. Les relations publiques
  7. L’amélioration des dispositifs de cybersécurité

Coûts financiers immergés

  1. L’augmentation des primes d’assurance
  2. L’augmentation du coût de la dette
  3. Les impacts liés à la perturbation ou l’interruption des activités
  4. L’érosion du chiffre d’affaires liée à la perte de contrats
  5. La dépréciation de la valeur de marque
  6. La perte de propriété intellectuelle
  7. La perte de la confiance accordée par le client

Les conséquences d’une violation de données personnelles peuvent être désastreuses pour la victime comme pour l’entreprise qui a enregistré ses données dans le cadre d’un paiement. Par son adhésion au PCI DSS, cela lui permet de se protéger, de détecter et répondre aux cyberattaques éventuelles.

Les risques face à la non-conformité au PCI DSS

Seulement 27,9% des entreprises interrogées se déclarent totalement conformes au standard PCI DSS ! Les chiffres publiés par la 10e édition du Payment Security Report (PSR) de Verizon sur les pratiques PCI DSS dans le monde sont sans appel : la majorité des organisations ne sont pas préparées à affronter une cyberattaque sur les données personnelles associées aux paiements par carte bancaire. En Amérique du Nord, moins d’une entreprise sur deux (47,9%) dispose de processus pour surveiller les paiements. La mise en application du PCI DSS est pourtant le moyen d’aligner les objectifs de sécurité avec les objectifs économiques de l’entreprise, en particulier le respect et la sécurité des données de ses clients.

Les entreprises qui procèdent à des paiements en ligne doivent prendre conscience des risques encourus en cas de violation des données. L’alignement entre les ressources de l’entreprise et son environnement économique peut faire la différence. Il doit se traduire par l’alignement de la conformité de la protection des données avec les stratégies économiques et de sécurité. Les législateurs, nationaux et européens, l’ont bien compris. Ces dernières années nous avons assisté à une prise de conscience sur les données personnelles qui ont mené à l’instauration du RGPD.

Les organisations qui ne sont pas conformes au PCI DSS risquent une perte ou un vol de données, et des sanctions financières qui dépendent du niveau d’engagement dans la démarche de cybersécurité des données, du volume des transactions, du nombre de données volées, etc. Ces amendes peuvent être lourdes et atteindre plusieurs millions d’euros.

Aussi, le partenaire financier qui procède au traitement des paiements peut modifier les termes du contrat ou le résilier et priver mécaniquement l’entreprise des revenus associés à l’usage des cartes bancaires. L’atteinte à la réputation et la perte de confiance dans la marque peuvent entraîner d'énormes pertes de revenus qui seront transférés à la concurrence. L’entreprise pourrait aussi ne pas s’en remettre.

Pour en savoir plus, découvrez l’article PCI DSS : Comment déterminer son SAQ et comment se mettre en conformité ?