115 chiffres sur la cybersécurité en 2023
Assurer la sécurité des contenus sensibles et la conformité règlementaire vis-à-vis de la confidentialité des données est un enjeu majeur pour les entreprises aujourd’hui. La transformation numérique se généralise désormais à tous les domaines d’activité et concerne toutes les organisations, quelle que soit leur taille. D’autant plus que le volume de données privées envoyées, partagées, reçues, et stockées numériquement est en constante augmentation.
Les risques sont élevés. Les cybercriminels et les États voyous ciblent aussi bien les données privées au repos qu’en transit. Par conséquent, la multiplication des technologies et des périphériques (notamment avec les appareils de l’Internet des objets, ou IoT) et la généralisation des services cloud, augmentent les risques et la difficulté à protéger les données privées. Une étude du Ponemon Institute révèle que 82 % des organisations estiment avoir subi au moins une violation de données du fait de la transformation numérique.
Des études annuelles du secteur, telles que le Verizon Data Breach Investigations Report, confirment que les données sensibles restent dans la ligne de mire des criminels. Le IBM and Ponemon Institute Cost of a Data Breach Report souligne, lui, les coûts engendrés par une violation de données. Les répercussions financières tiennent compte de l’atteinte à la réputation de la marque, des amendes et des pénalités pour non-conformité, de la perte de propriété intellectuelle (PI) et de la divulgation de données commerciales critiques (dossiers juridiques, documents financiers, plannings de production, etc.). Enfin, ces rapports révèlent que les violations de données proviennent de plus en plus de la supply chain, c’est-à-dire des logiciels, des partenaires et autres tiers.
En ce qui concerne les échanges de données confidentielles, le rapport de Kiteworks sur la confidentialité et la conformité des communications de contenu sensible a montré que 51 % des entreprises n’étaient pas suffisamment protégées contre les risques de fuites provenant de tiers.
En résumé, il n’a jamais été aussi difficile et onéreux de protéger vos données et de démontrer votre conformité à l’égard des réglementations en vigueur.
Cet article présente les grandes lignes de la cybersécurité et de la conformité de 2022, et les conclusions à en tirer pour la suite.
Vulnérabilités des logiciels
- Selon le Check Point Cyber Security Report 2021, 75 % des attaques en 2020 ont exploité des failles de sécurité qui avaient été identifiées au moins deux ans plus tôt. (Check Point)
- Le premier trimestre 2022 a été marqué par un nombre d’attaques au niveau de la couche applicative supérieur à celui enregistré sur les 4 trimestres précédents. (Cloudflare)
- Les vulnérabilités DDoS coûtent en moyenne 218 000 $ aux entreprises américaines avant même de payer les demandes de rançongiciels. (Corero)
- L’une des plus longues attaques DDoS du début de l’année 2022 a duré 549 heures, une durée record. (Kaspersky)
- Le secteur des télécommunications a été le plus visé par les attaques de la couche réseau. (Cloudflare)
- La moitié des vulnérabilités ne sont pas résolues six mois après leur découverte. (Veracode)
- 84 % des entreprises ont des vulnérabilités à haut risque sur leur réseau. (Positive Technologies)
- Aux États-Unis trois des 10 failles les plus exploitées par les pirates étrangers sont dans Microsoft OLE. (CISA, FBI)
- Une organisation sur cinq ne teste pas les vulnérabilités de ses logiciels. (Ponemon Institute)
- 69 % des logiciels malveillants exploitent aujourd’hui des vulnérabilités de type «zero-day ». (WatchGuard Technologies)
- Même un cyberattaquant peu aguerri est capable d’exploiter 10 % des vulnérabilités, en utilisant un programme d’exploitation public. (Positive Technologies)
- La moitié des vulnérabilités pourraient être corrigées simplement en installant des mises à jour logicielles. (Positive Technologies)
- 26 % des entreprises ont des systèmes toujours vulnérables au logiciel de chiffrement malicieux WannaCry. (Positive Technologies)
- 84 % des entreprises sont encore vulnérables à l’attaque POODLE. (Positive Technologies)
- 20% des vulnérabilités logicielles sont dues à des erreurs d’OpenSSH, qui permettent aux pirates de prendre le contrôle des ressources du périmètre réseau ou de pénétrer dans le réseau local de l’entreprise. (Positive Technologies)
Supply Chain
- 62 % des attaques abusent de la confiance des clients envers leurs fournisseurs. (European Union Agency for Cybersecurity)
- 62 % des incidents impliquent des tiers compromettant des partenaires. (Verizon 2022 Data Breach Report)
- 48 % des organisations n’ont pas de liste exhaustive de tous les tiers ayant accès à leur réseau. (SecureLink and Ponemon Institute)
- Dans une enquête mondiale menée par CrowdStrike, 36 % seulement des personnes interrogées avaient soumis leurs fournisseurs, nouveaux ou existants, à un contrôle de sécurité au cours des 12 derniers mois. (CrowdStrike)
- 45% des organisations indiquent avoir été victimes d’une attaque sur la supply chain au cours des 12 derniers mois. (CrowdStrike)
- Les attaques sur la supply chain ont augmenté de 100 % par rapport à 2021. (Symantec)
- Plus de la moitié des organisations subiront une attaque du logiciel de leur supply chain d’ici à 2025. (Gartner)
- 4,4 millions de dollars, c’est le coût du piratage de la supply chain de Colonial Pipeline Co (Bloomberg)
- Les connexions IoT mondiales ont augmenté de 8 % en 2022, totalisant 12,2 milliards de terminaux actifs. (IoT Analytics)
Risques tiers
- 51 % des organisations sont insuffisamment protégées contre les risques de sécurité et de conformité des tiers. (Kiteworks)
- 67 % des entreprises utilisent plus de quatre systèmes différents pour suivre, contrôler et sécuriser les communications de contenu. (Kiteworks)
- 60% des organisations demandent à l’expéditeur d’envoyer un fichier non chiffré via un lien vers un serveur partagé, quand les e-mails ne peuvent pas être déchiffrés. (Kiteworks)
- Plus de 50 % des entreprises citent HIPAA, PCI DSS, CCPA, le RGPD et le DPA (Accord de traitement de Données, France) parmi les réglementations/normes de conformité qu’elles sont tenues de respecter. (Kiteworks)
- Plus de la moitié des personnes interrogées indiquent que leurs organisations ne sont pas suffisamment préparées pour faire face aux risques liés au partage et au stockage de données confidentielles par des tiers. (Kiteworks)
- 88 % des organisations ne chiffrent pas toutes les communications avec des tiers. (Kiteworks)
- 62 % des incidents impliquent des tiers compromettant des partenaires. (Verizon 2022 Data Breach Report)
- 48 % des organisations n’ont pas de liste exhaustive de tous les tiers ayant accès à leur réseau. (Ponemon Institute and SecureLink)
- 43 % des entreprises déclarent que les directives et systèmes de gestion des tiers sont régulièrement mis à jour au sein de leur organisation. (Ponemon Institute and RiskRecon)
Ransomware
- Le 2022 Global Threat Report de CrowdStrike révèle que les fuites de données liées aux ransomwares ont augmenté de 82 % l’année dernière. (CrowdStrike)
- 495 millions d’attaques par ransomware ont eu lieu au cours des neuf premiers mois de 2021, soit une augmentation de 148 % par rapport à 2020. (SonicWall)
- Plus de 37 700 attaques par ransomware se produisent chaque heure dans le monde. Soit 578 attaques par ransomware chaque minute. (Matthew Woodward)
- 20 % des Américains ont déjà été confrontés à une attaque par ransomware. (The Harris Poll)
- Le montant moyen versé par ransomware en 2021 était de 570 000 dollars. (GRC World Forums)
- Les attaques par ransomware aux États-Unis ont eu un coût estimé à 623,7 millions de dollars en 2021. (Emsisoft)
- Environ 25 % de toutes les attaques par ransomware touchent le secteur industriel, 17 % les prestataires de services et 13 % les organisations gouvernementales. (Security Intelligence)
- En 2020, les organismes de santé ont payé 21 milliards de dollars aux auteurs d’attaques par ransomware. (Comparitech)
- 3 organisations sur 4 ont été la cible d’attaques par ransomware, 64% ont payé une rançon, et 40% n’ont pas pu récupérer leurs données. (Mimecast)
- 1 900, c’est le nombre de groupes de pirates informatiques actifs aujourd’hui. (FireEye Mandiant)
- Toutes les 14 secondes, une entreprise est victime d’une attaque par ransomware. (Cybersecurity Ventures)
- De nombreux services publics, dont des écoles, des services de santé et des collectivités locales américaines, ont été la cible d’attaques par ransomware début 2022. (TechTarget)
- L’Agence pour la cybersécurité et la sécurité des infrastructures a signalé en février 2022 que des incidents liés aux ransomwares se sont produits dans 14 des 16 départements stratégiques des administrations américaines. (CISA)
- Selon un rapport de 2022, 88 % des attaques par ransomware ont tenté d’infecter des sauvegardes, et 75 % de ces tentatives ont réussi. (Veeam)
- Une attaque par ransomware survenue début 2020 contre le gouvernement de La Nouvelle-Orléans a coûté à la ville plus de 7 millions de dollars. (SC Magazine)
- En février 2020, une attaque par ransomware a coûté à la société ISS, basée au Danemark, plus de 50 millions de dollars. (Asia Insurance Review)
- Les attaques par ransomware ont coûté 7,8 milliards de dollars en 2021 aux organismes de santé américains. (Comparitech)
- Les ransomwares sont en hausse de près de 13% en 2022, équivalente à celle des cinq dernières années combinées. (Verizon 2022 Data Breach Report)
- Les arrêts de production et les pertes d’exploitation sont les plus graves conséquences d’une attaque par ransomware, plus que la rançon en elle-même. (Dark Reading)
- On estime que 5,2 milliards de dollars de transactions en bitcoins sont liées à des paiements de ransomware en 2021. (Financial Crimes Enforcement Network)
- Avec un seul mot de passe, des pirates ont infiltré la Colonial Pipeline Company en 2021 avec une attaque par ransomware qui a provoqué des pénuries de carburant à travers tous les États-Unis. (Bloomberg)
- 55. JBS, entreprise de transformation de viande, a été victime d’une attaque par ransomware qui a mis hors service des usines de transformation de bœuf et de volaille sur quatre continents différents. (Wall Street Journal)
Cyberattaques
- En 2021, au moins 50 % des consommateurs ont été touchés par la cybercriminalité, et environ 33 % d’entre eux en ont été victimes. (Norton)
- 68 % des dirigeants d’entreprise estiment que les risques liés à la cybersécurité augmentent. (Accenture)
- 212 jours, c’est le temps moyen pour détecter une cyberattaque en 2021. (IBM)
- Le coût mondial de la cybercriminalité est estimé à 6,1 trillions de dollars en 2021 et devrait augmenter de 15 % d’année en année pour atteindre 10,5 trillions de dollars en 2025. (Cybersecurity Ventures)
- Environ 20 % des e-mails d’hameçonnage atteignent les boîtes de réception des salariés. Cela prouve que les attaquants sont de plus en plus performants, malgré les formations et les processus de sécurité mis en place. (Dark Reading)
- Les services de sécurité représenteront environ 50 % du budget de la cybersécurité en 2020. (Gartner)
- Moins de 50 % des organisations appliquent des principes de sécurité zero-trust pour le transfert et l’automatisation de fichiers, les formulaires Web et les API. (Kiteworks)
- 50 % des grandes entreprises (de plus de 10 000 employés) dépensent au moins 1 million de dollars par an en sécurité, 43 % entre 250 000 et 999 999 dollars et seulement 7 % moins de 250 000 dollars. (OEM Magazine)
- 18 % des PDG ont déclaré que le risque de cybersécurité serait la plus grande menace pour la croissance de leur entreprise d’ici 2024. (KPMG)
- Google a annoncé qu’il investirait 10 milliards de dollars au cours des cinq prochaines années pour développer les programmes zero-trust et aider 100 000 Américains à acquérir des compétences liées au numérique dans l’industrie. (White House)
- IBM a annoncé son intention de former 150 000 personnes à la cybersécurité au cours des trois prochaines années. (White House)
- D’ici 2023, il y aura trois fois plus de machines en réseau sur Terre que d’êtres humains. (Cisco)
- D’ici fin 2022, 1 trillion de capteurs en réseau seront présents dans le monde qui nous entoure, et jusqu’à 45 trilliards dans 15 ans. (Cisco)
- Un véhicule autonome moderne contiendra 100 millions de lignes de code et 100 boîtiers de commande électronique, et ces chiffres devraient tripler d’ici 2030. À titre de comparaison, un avion de ligne moderne compte 15 millions de lignes de code. (McKinsey & Company)
- 66 % des petites et moyennes entreprises ont connu au moins un incident informatique au cours des deux dernières années. (Forbes)
- 39% des systèmes de sécurité utilisés par les entreprises sont obsolètes. (Cisco)
- Le minage de cryptomonnaies, l’hameçonnage, les ransomwares et les chevaux de Troie représentent 10 fois l’activité d’Internet de tous les autres types de menaces. (Cisco)
- Les périmètres de réseau sont en danger 93 % du temps. (Positive Technologies)
- Plus d’un tiers des organisations ont constaté une hausse des cyberattaques par rapport à 2021. (ISACA)
- Le secteur de la grande distribution perd 38 052 dollars par minute à cause de la cybercriminalité, tandis que les organismes de santé dépensent 13 dollars par minute pour des violations de données. (Cloud Security Alliance)
- 9 % des employés mettent plus d’une heure à signaler un e-mail d’hameçonnage. (Cofense)
- 26 % des spécialistes de la sécurité n’ont pas d’outil automatisé pour repérer et arrêter les attaques des périphériques. (Check Point)
- Les attaques au niveau mondial ont augmenté de 28 % au troisième trimestre 2022 par rapport à la même période en 2021. (Check Point)
- Les vecteurs d’attaque les plus courants sont le vol d’identifiants (19 %) l’hameçonnage (16 %), la mauvaise configuration du cloud (15 %) et les vulnérabilités des logiciels tiers (13 %). (IBM and Ponemon Institute)
- Le nombre moyen d’attaques par organisation et par semaine dans le monde est de 1 130. (Check Point)
- Augmentation de 31 % du nombre moyen d’attaques par entreprise depuis 2020. (Accenture)
- 32 % des organisations admettent que la sécurité ne fait pas partie des préoccupations liées au cloud et qu’elles sont en train de rattraper leur retard. (Accenture)
- Le coût mondial de la cybercriminalité atteindra 10,5 trillions de dollars par an d’ici 2025. (Cybersecurity Ventures)
- Les entreprises ont subi 50 % de tentatives de cyberattaques en plus par semaine en 2021. (Dark Reading)
- Les cybercriminels peuvent pénétrer 93 % des réseaux d’entreprise. (Positive Technologies)
- 40 % des petites entreprises victimes d’une cyberattaque grave ont subi au moins 8 heures d’interruption de service. (Cisco)
- 83 % des petites et moyennes entreprises ne sont pas préparées financièrement à se remettre d’une cyberattaque. (Insurance Bee)
Violations de données
- 95 % des failles de cybersécurité sont liées à une erreur humaine. (World Economic Forum)
- Environ 90 % des violations de données sont motivées par des raisons financières. L’espionnage arrive en deuxième position, avec une proportion nettement moindre. (Verizon 2022 Data Breach Report)
- 4,35 millions de dollars, c’est le coût moyen d’une violation de données aux États-Unis en 2022. (IBM and Ponemon Institute)
- 20% des violations de données impliquent un utilisateur interne. (Verizon 2022 Data Breach Report)
- 700 000 offres d’emploi étaient à pourvoir en cybersécurité aux États-Unis en avril 2022, et les postes non pourvus pourraient atteindre 3,5 millions d’ici 2025. (CyberSeek)
- Environ 40 % de la population mondiale est déconnectée, et s’expose à des cyberattaques au moment de la reconnexion. (DataReportal)
- 42% des entreprises souffrent de cyber fatigue/apathie, qui affecte leur capacité à se défendre contre les cyberattaques. (Cisco)
- 40 % des attaques par ransomware impliquent des logiciels de partage de bureau et 35 % l’utilisation de la messagerie électronique. (Verizon 2022 Data Breach Report)
- En 2021, près de 40 % des violations sont dues à l’hameçonnage, environ 11 % aux logiciels malveillants et environ 22 % au piratage. (Verizon 2021 Data Breach Report)
- 82 % des violations de données impliquent un facteur humain et consistent en un vol d’identifiants, un hameçonnage, une mauvaise utilisation ou une simple erreur. (Verizon 2022 Data Breach Report)
- On estime à 300 milliards le nombre de mots de passe utilisés par les humains et les machines dans le monde. (Cybersecurity Ventures)
- 50 % des violations sont attribuées à des accès à distance et à des applications Web non sécurisées. (Verizon 2022 Data Breach Report)
- Depuis le début de la pandémie, 20 % des chefs d’entreprise ont subi les effets d’une violation de données causée par un salarié en télétravail. (Malwarebytes Labs)
- Le coût moyen d’un incident informatique pour une petite entreprise est de 120 000 dollars. (Insurance Bee)
- 44 % des personnes interrogées estiment que les incidents informatiques et les violations de données sont les principales préoccupations des entreprises en 2022, devant les arrêts de production et les catastrophes naturelles. (Allianz Risk Barometer)
- 25% des personnes les plus fortunées, dont le patrimoine moyen est de 1 milliard de dollars, ont été ciblées par des cybercriminels pour leurs données. (Barclays Private Bank)
- Il y a eu 153 millions de nouveaux échantillons de logiciels malveillants entre mars 2021 et février 2022. (AV-TEST Institute)
- Les attaques par hameçonnage sont liées à 36 % des violations. (Verizon 2022 Data Breach Report)
- Selon le gouvernement américain, le nombre de violations dans le secteur de la Santé au cours des cinq premiers mois de 2022 a presque doublé par rapport à la même période en 2021. (TechTarget)
- Les violations de données ont exposé 22 milliards de dossiers en 2021, chiffre qui augmentera de 5 % cette année. (Risk Based Security)
- Près de 48 millions de personnes se sont fait voler leurs informations personnelles dans une violation de données de T-Mobile en 2021. (T-Mobile)
- Les données personnelles de 100 millions d’utilisateurs d’Android ont été exposées dans une fuite de données de 2021 en raison de services cloud mal configurés. (Check Point)
- Les amendes relatives au RGPD ont totalisé 1,2 milliard de dollars en 2021. (CNBC)
- Les organisations ayant adopté une approche zero-trust ont constaté un coût moyen de violation de données de 1,76 million de dollars de moins que les autres organisations. (IBM and Ponemon Institute)
- Le coût moyen par incident est 1,07 million de dollars plus élevé lorsque la violation est liée au télétravail. (IBM and Ponemon Institute)
- Près de la moitié des violations de données se produisent dans le Cloud. (IBM and Ponemon Institute)
- Le coût des violations de données aux États-Unis est plus de deux fois supérieur à la moyenne mondiale. (IBM and Ponemon Institute)
- L’éducation a été le secteur le plus ciblé par les cyberattaques au cours du troisième trimestre de 2022 (18 %). (Check Point)
Gérer la confidentialité et le risque de non-conformité des communications de contenu sensible
Ces statistiques 2022 montrent que la cybersécurité reste une priorité pour les secteurs privé et public. Lorsque des données confidentielles font l’objet d’une violation, d’un vol ou d’une demande de rançon, les conséquences sur les organisations et les individus sont lourdes. Les répercussions opérationnelles, financières et sur la réputation des entreprises se chiffrent facilement en millions de dollars. Certaines petites et moyennes entreprises sont incapables de s’en remettre et font faillite.
Les communications de contenu sensible sont une cible lucrative pour les cybercriminels. Les informations personnelles identifiables (PII), les informations médicales protégées (PHI), les données bancaires, les communications relatives aux fusions et acquisitions (M&A), la propriété intellectuelle et d’autres formes de données confidentielles sont les principales types de données sensibles visées. En réponse à ce phénomène, les autorités et les groupes industriels ont instauré une série de réglementations et de normes, telle que le Règlement général sur la protection des données (RGPD) de l’Union européenne, la California Consumer Privacy Act (CCPA), la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) du Canada et la Health Insurance Portability and Accountability Act (HIPAA), qui obligent à se conformer au suivi et au contrôle de la gouvernance.
Des milliers d’organisations internationales ont choisi le Réseau de contenu privé de Kiteworks pour répondre à ces enjeux de confidentialité et de conformité, en unifiant, suivant, contrôlant et sécurisant les communications de contenu sensible. Demandez une démo personnalisée pour en savoir plus sur comment le Réseau de contenu privé Kiteworks peut vous permettre de gérer la gouvernance et les risques dans votre entreprise.
Ressources complémentaires