Si au cours des 20 dernières années, il vous est arrivé de vous retrouver en arrêt maladie chez vous, il est fort probable que vous ayez vu au moins un épisode du jeu TV « Le Juste Prix », ce jeu dans lequel les joueurs doivent deviner le prix d'un produit afin de le remporter.
De même, si vous êtes un professionnel de la sécurité informatique ou un administrateur de messagerie et que vous voulez deviner le coût d'une attaque de phishing, cet article va vous aider à prendre en compte les dépenses auxquelles vous n'auriez pas pensé. Afin d'illustrer combien une attaque réussie de spear phishing pourrait vous coûter, prenons l'exemple d'une entreprise fictive disposant de 100 million d’euros de chiffre d'affaires et qui vient de subir une fuite des données de 50 000 de ses clients pendant l'attaque.
Qu'est-ce le « spear phishing »? En bref, le spear phishing est une variante du phishing (un email dont l’identité d’une organisation est usurpée afin de tromper l’utilisateur et l’inciter à effectuer une action), car l’usurpation se fait sur des personnes connus par les destinataires pouvant être des collègues, amis ou supérieurs hiérarchiques. Un email d'un contact se révèle faux, dissimulant une pièce jointe qui installera par la suite un malware sur le poste du destinataire. C’est là que l’usurpation d’identité prend tout son sens. Pourquoi cliquerions-nous sur une pièce jointe dont on ne connaît pas l'expéditeur ? Alors que si votre patron vous envoie un email vous demandant de regarder le document PowerPoint qu’il va présenter le soir même, vous allez vous empresser de lui répondre et ouvrir la pièce jointe. Erreur… Voilà pourquoi cette technique fonctionne si bien. Le spear phishing est d’ailleurs le vecteur d’attaque préféré des organisations criminelles (et parfois même des États) pour pénétrer dans les réseaux des grands comptes afin de voler des informations confidentielles.
Les attaques réussies de spear phishing peuvent être très coûteuses. Parmi les impacts financiers sur l'entreprise : des règlements des contentieux, la perte de la propriété intellectuelle, des dégâts à la réputation et des pénalités réglementaires. Certains de ces coûts peuvent encore être pris en charge par des assurances, mais l'entreprise doit s'attendre à en payer d'autres de sa poche. Nous allons essayer d'attribuer des montants sur tous les coûts moins visibles et intangibles d'une fuite de données résultant d'une attaque de phishing. Par souci de simplicité, supposons que cette attaque ne déclenchera pas d’amendes réglementaires.
Coûts côté service IT
Lorsque les choses tournent vraiment mal, vos salariés vont devoir les réparer. En nous basant sur une estimation de 60 heures ouvrées en interne et 30 heures ouvrées en conseil externe pour corriger les différents problèmes, l'incident de spear phishing coûtera au service informatique 8 430€ comme indiqué dans le tableau ci-dessous.
Cette estimation est calculée à partir du salaire IT national moyen. La réparation de ces dégâts va en même temps empêcher le personnel du service IT d'effectuer leurs autres tâches et projets pouvant impacter le chiffre d'affaires.
| Coûts service IT pour la résolution de l'incident | Unités | Type | Coût | Total |
| Personnel | 60 | Heures | 41 € | 2430 € |
| Consultants | 30 | Heures | 200 € | 6000 € |
| Total coûts côté service IT | 8430 € |
Coûts juridiques
Lorsqu'il y a une fuite majeure, les clients affectés ont tendance à intenter des procès. Votre entreprise devra réagir aux litiges. En supposant qu'un avocat interne passera 175 heures ouvrées au taux annuel moyen de 200 000 €, ajoutez à cela 500 heures ouvrées passée de plus par un cabinet d'avocats externe à 350€ l'heure, et les frais juridiques pour une attaque de phishing atteindront 192 500€. Puis, il y a les règlements... Si 1% des clients dont les données ont été compromises gagnent leurs procès et doivent toucher 2500€ par personne, le coût pour votre entreprise sera 1 250 000€ pour régler les réclamations liées à l'attaque de spear phishing.
| Coûts juridiques | Unités | Type | Coût | Total |
| Avocat interne | 175 | heures | 100 € | 17 500 € |
| Avocat externe | 500 | heures | 350 € | 175 000 € |
| Total frais juridiques | 192 500 € | |||
| Litiges | ||||
| Pourcentage d'actions par rapport au nombre de clients affectés | 1% | |||
| Nombre de fiches compromises | 50 000 | |||
| Nombre d'actions | 500 | |||
| Règlement moyen | 2 500 € | |||
| Coût total des litiges | 1 250 000 € |
Protection de l'Identité
Certaines entreprises victimes d'une fuite de données souscrivent à une protection d'identité pour ceux qui sont affectés. La société Anthem Blue Cross et d'autres ont engagé AllClearID pour protéger chaque détenteur de compte dont les données ont été compromises dans une attaque. AllClearID facture 4,95€ par mois par compte pour la protection d'identité. Pour protéger 50 000 identités pendant un an, cela coûterait 2 970 000€. Même si des prix dégressifs sont proposés, le coût reste conséquent…
| Protection de l'Identité | Unités | Type | Coût | Total |
| Protection ID | 600 000 | Mois | 4,95 € | 2 970 000 € |
Call Center
La plupart des victimes d'une attaque de phishing voudront ou auront besoin d'appeler votre société pour comprendre ce qu'elles doivent faire, ce que la fuite représente pour elles, et ainsi de suite. Décrocher le téléphone coûte également de l'argent. Si chaque victime doit appeler à deux reprises et parle pendant 7 minutes, il s'agira de 700 000 minutes à l'appareil avec les téléconseillers. Au prix moyen national de 1,50€ la minute pour un centre d'appels, nous sommes confrontés à une dépense de 1,050,000€ provenant directement de l'attaque de spear phishing.
| Call Center | |
| Nombre d'appels pris par victime de fuite | 2 |
| Durée d'un appel (minutes) | 7 |
| Nombre total de minutes d'appel | 700 000 |
| Coût d'appel par minute | 1,50 € |
| Coût total | 1 050 000 € |
Communications postales
Que ce soit une obligation légale ou dans le cadre de votre politique d'entreprise, il est possible que vous soyez dans l’obligation de prévenir les victimes de la fuite par courrier, et ce, au pluriel ! Si trois courriers par victime sont nécessaires, au prix de 2,50€ pièce pour l'élaboration et l'envoi, le coût de la communication postale à cause de l'attaque spear phishing reviendra à 375 000€.
| Courriers par victime de fuite | 3 |
| Nombre total de courriers envoyés | 150 000 |
| Coût d'élaboration et d'envoi du chaque courrier | 2,50 € |
| Coût postal total | 375,000 € |
Pertes de revenus
Après une fuite de données, il ne faudrait pas compter sur la même fidélité de sa clientèle. Disons que 3% des victimes, soit 3 000 clients, partent ailleurs après avoir perdu confiance en votre capacité à assurer la sécurité de leurs données. Si chaque client augmente de 250€ chaque année à votre chiffre d'affaires, par exemple, cela représente un manque à gagner de 375 000€ directement lié à l'attaque de spear phishing.
| Pourcentage de clients victimes ne souhaitant pas rester clients | 3% |
| Nombre de clients perdus | 1 500 |
| Revenus annuels par client | 250 € |
| Pertes de revenus | 375,000 € |
Dégâts à la réputation
Les dégâts à la réputation ou à la marque sont souvent considérés intangibles, mais est-ce nécessairement le cas ? Alors qu'il y a plusieurs moyens d'estimer la valeur d'une marque, il est possible d'argumenter que la réputation d'une entreprise se traduit enfin en une capacité d'augmenter ses prix. Voyons les choses de cette manière : Quelle est la différence entre une canette de soda de marque et une autre sans marque ? Cinq centimes, peut-être. Est-ce un simple hasard ? Les consommateurs sont prêts à payer cinq centimes de plus pour la marque. Le même constat s'applique ailleurs dans d'autres secteurs. Les articles de marque ont un prix plus élevé et génèrent des marges plus importantes. C'est pour cette raison que les entreprises investissent dans le développement de leur marque. Dans notre exemple de l'entreprise au chiffre d'affaires de 100 millions d’euros, disons que l'attaque de phishing a atteint la marque au point de baisser sa marge de 40% à 39%. Cette baisse représente une perte de 1 million d’euros.
| Marge brute avant l'incident | 40% |
| Marge brute après l'incident | 39% |
| Revenus | 100 000 000 € |
| Marge brute avant l'incident | 40 000 000 € |
| Marge brute après l'incident | 39 000 000 € |
| Perte brute | 1 000 000 € |
L'addition
Le coût total de cette attaque hypothétique s'élève à 7 220 930€. De plus, la gestion de cet incident détournera l'attention de nombreuses équipes de leurs tâches habituelles, impactant la croissance, le moral et la stratégie.
Bien entendu, ceci n'est qu'une estimation basée sur beaucoup d'éléments hypothétiques qui varieront selon chaque organisation et la gravité de l’attaque. Néanmoins, le coût total semble tout de même conséquent lorsqu'un incident majeur survient.
Se Protéger Contre les Attaques de Spear Phishing
La solution anti-phishing de Vade fournit une protection unique contre les attaques de spear phishing pouvant s'ajouter comme une couche supplémentaire sur des solutions anti-spam existantes afin de renforcer la protection globale de la messagerie. La solution bénéficie du filtrage heuristique des emails avec une intelligence artificielle artificielle ayant appris à reconnaître les menaces de phishing, se basant sur l’analyse journalière de plus de 235 millions de comptes email. Des technologies propriétaires reconnaissent des tentatives de spear phishing en comparant les habitudes de l’utilisateur, le contenu de l’email dans le cas où des données sensibles sont demandées et enfin, se basant sur des indicateurs techniques de l'expéditeur prétendu.
