Le cabinet Asterès évalue le coût des cyberattaques réussies contre les organismes publics et privés français à 2 Mds€ en 2022.
Ont été analysés les principaux impacts économiques des trois types d’attaques réussies couvertes par l’étude : intrusion dans le système d’information, attaque par rançongiciel et par déni-de-service. Le coût de l’ensemble de ces cyberattaques réussies se répartit entre un coût direct (44% des ressources allouées à la résolution de la crise : mobilisation des équipes internes, services professionnels externes, sollicitation des avocats, etc.), le paiement des rançons (44%) et des pertes d’exploitation (12%).
Ce montant n’inclut pas les amendes pour violation du RGPD (jusqu’à 4% du CA mondial) et les éventuels dommages-intérêts à verser par ces organismes aux personnes victimes desdites attaques au titre de la responsabilité du responsable du traitement et au droit à réparation (art. 82 du RGPD). Cependant, dans son arrêt du 4 mai 2023, la CJUE a rappelé que la simple violation du RGPD ne suffisait pas à ouvrir droit à réparation si les trois conditions de la responsabilité n’était pas réunies (manquement au RGPD, dommage et lien de causalité). Ainsi, l’accès non-autorisé à des données personnelles dans le contexte d’une cyberattaque n’est pas suffisant pour conclure à un manquement de la part du responsable du traitement à son obligation de sécurité. Le responsable du traitement pourra s’exonérer en démontrant que les mesures techniques et organisationnelles étaient adéquates. Par ailleurs, la victime devra démontrer qu’elle a concrètement et spécifiquement subi un préjudice réel et certain, un simple mécontentement n’ouvrant pas droit à réparation.