Selon une étude réalisée par Kaspersky Lab et B2B International, une entreprise sur cinq interrogée pense que c’est à son prestataire informatique (en particulier son opérateur réseau) de protéger ses services en ligne contre les attaques DDoS. Dans la réalité, pourtant, cette responsabilité incombe souvent aux entreprises elles-mêmes, leur causant parfois un préjudice non négligeable.
L’étude a été réalisée auprès 3 900 entreprises de toutes tailles réparties dans 27 pays. Plus de la moitié des participants (54%) sont des moyennes, grandes ou très grandes entreprises. Près de 17% travaillent dans des entreprises entre 5 000 et 50 000 employés, contre 12% pour des entreprises entre 1 500 et 5 000 employés et 25% entre 250 et 1 500 employés. Les autres travaillent dans des petites entreprises.
En plus de l’impact financier, une réputation endommagée
Les experts mettent également en garde contre le coût d’une attaque pouvant atteindre des dizaines de milliers de dollars pour les petites et moyennes entreprises, contre des millions pour les plus grandes. Pour mesurer le coût global d’une attaque DDoS pour l’entreprise, il faut prendre en compte les conséquences à court et long termes. Il inclut le recrutement (en interne ou en externe) d’un consultant en sécurité (65%), la perte temporaire d’accès aux informations critiques (61%) et les investissements software et hardware (49%). A noter également que 38% des entreprises jugent qu’une attaque DDoS a un impact réel sur leur réputation.
Les entreprises estiment que leur protection DDoS doit être assurée par un tiers
Petites et grandes entreprises confondues, 28 % de l’ensemble des entreprises pensent que la protection DDoS n’est pas de leur ressort. 9 % des petites entreprises et 2 % des grandes comptent sur la police et les pouvoirs publics pour les protéger. Dans le même temps, 44 % des participants à l’enquête estiment que c’est à leur département informatique de les protéger contre les attaques DDoS. 16 % d’entre eux s’en remettent à leur direction, 8 % à leur département de la sécurité, 4 % à celui de la gestion des risques.
Les petites entreprises se sentent moins concernées par les attaques
Les petites entreprises sont 50 % à penser que la lutte contre les attaques DDOS relève de leur responsabilité. Ce nombre s’élève à 90 % pour les grandes. 40 % d’entre elles sont convaincues d’être parfaitement protégées par leur opérateur ou leur hébergeur contre 9 % pour les grandes entreprises.
En s’en remettant à leurs prestataires informatiques, de nombreuses entreprises se mettent en danger. Ces prestataires n’offrent généralement pas une bonne protection de base. En outre, nombre d’entre eux ne sont tout simplement pas en mesure d’assurer une protection fiable contre les attaques DDoS compte tenu des moyens qu’il faut déployer contre des attaques qui ne cessent de gagner en ampleur et en complexité. Celle-ci ne peut venir que de spécialistes de la protection contre les cybermenaces, disposant de technologies d’une grande efficacité et d’une équipe d’experts qualifiés capables de procéder à des mises à jour régulières pour répondre à l’évolution de ces menaces.
Des cibles hétérogènes qui confirment qu’aucune entreprise n’est à l’abri
Les entreprises offrant des services financiers ou des services en ligne, qui dépendent d’un accès Web disponible 24/7 pour assurer la pérennité de leur activité sont les premières ciblées. Elles sont plus d’un tiers (38%) à avoir été victimes d’au moins une attaque DDoS entre avril 2013 et mai 2014. Mais les attaques DDoS ne se limitent pas à un profil type d’entreprise. De façon générale, près d’une entreprise sur 5 (18%) a subi une attaque DDoS au cours de l’année étudiée.