
Analyser les chiffres : l'art subtil de calculer les coûts de la cybercriminalité
Combien coûte la cybercriminalité ? Quels sont les coûts moyens associés à une seule attaque ? Et quel est le coût annuel cumulé de la cybercriminalité ?
Vous n'avez pas besoin de faire beaucoup de recherches sur les statistiques de la cybercriminalité pour obtenir un large éventail de réponses à ces questions. Il est donc naturel de se demander comment ces chiffres sont calculés. Et je suis sûr que vous ne serez pas surpris d'apprendre qu'il n'existe pas de méthode standardisée pour le faire.
Ce qui existe cependant — et j’espère ne pas révéler ici de secrets industriels — c’est une incitation pour les fournisseurs de cybersécurité à utiliser les estimations les plus élevées qu’ils peuvent trouver ou générer dans leurs communications. Dire « une attaque par ransomware pourrait coûter à votre entreprise des dizaines de milliers de dollars » n’a pas le même impact commercial que « le coût moyen d’une attaque par ransomware l’année dernière était de cinq millions de dollars ! »
Il est donc judicieux de prendre ces estimations à croissance rapide avec un grain de sel et un peu d'esprit critique, surtout lorsqu'elles se présentent sous la forme de prédictions concernant les coûts futurs.
Qu'est-ce qui est considéré comme un coût de cybercriminalité ?
Il est clair qu'il est important d'avoir une vision large pour estimer les coûts de la cybercriminalité. Comme rapporté dans Cybercrime Magazine :
« Les coûts de la cybercriminalité incluent les dommages et la destruction de données, le vol d'argent, la perte de productivité, le vol de propriété intellectuelle, le vol de données personnelles et financières, le détournement de fonds, la fraude, la perturbation du cours normal des affaires après une attaque, l'enquête médico-légale, la restauration et la suppression des données et des systèmes piratés, l'atteinte à la réputation, les frais juridiques et potentiellement les amendes réglementaires, ainsi que d'autres facteurs », a déclaré Steve Morgan, fondateur de Cybersecurity Ventures.
C'est une liste assez longue, et le fait qu'elle se termine par « plus d'autres facteurs » me laisse, au moins, un peu sceptique quant aux chiffres qui en ressortent.
Dans le même article de mai 2025, il est prévu que le coût mondial de la cybercriminalité pour cette année-là s'élèvera à 10,5 billions de dollars, soit une hausse spectaculaire par rapport à leur estimation de 1 billion de dollars pour 2020. En 2031, le magazine prévoit que ce chiffre passera à 12 200 milliards de dollars, sur la base d'une augmentation régulière de 2,5 % par an. Cette hypothèse repose sur l'idée que l'économie de la cybercriminalité est devenue si importante et si rentable que son taux de croissance, qui a augmenté régulièrement dans le passé, va bientôt se stabiliser, si ce n'est déjà fait.
Coûts directs vs. indirects
ITPro a publié au même mois de mai 2025 une étude qui a révélé que les coûts de la cybercriminalité au Royaume-Uni s'élevaient à « 64 milliards de livres sterling par an en paiements de rançons, heures supplémentaires du personnel, pertes d'activité et autres coûts associés. »
L'étude établit une distinction entre les coûts directs et les coûts indirects. Les coûts directs ont été identifiés comme étant le temps supplémentaire consacré par le personnel à gérer les attaques, ainsi que « les paiements de rançon, les fonds volés ou perdus, les coûts juridiques et réglementaires, la perturbation des opérations et le coût de l'apport d'expertise tierce ainsi que les primes d'assurance cybernétique plus élevées ». Selon l'étude, cela s'élevait à 37,3 milliards de livres sterling.
Les coûts indirects, quant à eux, se sont révélés très importants, atteignant 26,7 milliards de livres. La plus grande catégorie de coûts indirects serait l'augmentation des budgets de cybersécurité suite aux attaques. « Les autres coûts indirects comprenaient la perte de clients, le coût de la réorientation des ressources vers la réponse aux incidents, et la perte d'un avantage concurrentiel en raison du vol de la propriété intellectuelle de l'entreprise. »
Semer le doute
Un autre rapport de mai 2025, produit par l'Atlantic Council, constitue une tentative très détaillée d'expliquer, de définir et de résoudre deux problèmes importants liés aux mesures de la cybersécurité en général, qui, selon les auteurs, font qu'il n'y a aucun moyen de comprendre utilement l'efficacité des politiques gouvernementales et autres pour lutter contre la cybercriminalité.
« Ce rapport identifie deux problèmes fondamentaux qui freinent les progrès : premièrement, l'état inconnu du système, ce qui signifie que les décideurs politiques ne peuvent pas décrire empiriquement dans quelle mesure le paysage numérique est actuellement sécurisé ou non sécurisé. Et deuxièmement, l'efficacité non mesurée des politiques, qui empêche les décideurs politiques de comparer les interventions les plus efficaces pour améliorer la sécurité et réduire les dommages. Il en résulte un environnement d'élaboration des politiques fortement tributaire de l'intuition, de l'anecdote, de données incomplètes et de mesures indirectes, ce qui est insoutenable pour un domaine présentant des risques systémiques et croissants ainsi que des investissements importants en matière de sécurité. »
« Counting the costs : A cybersecurity metrics framework for policy », The Atlantic Council
Ce long rapport démontre de manière très convaincante que les mesures actuellement utilisées ne sont pas à la hauteur de la tâche et propose des changements importants dans la manière dont ces mesures sont conceptualisées. L'effet net pour ce lecteur est, une fois de plus, d'inspirer un grand scepticisme quant aux estimations des coûts de cybersécurité.
Que faut-il penser de tout cela
Alors, quel est le résultat final ? Tout d'abord, quels que soient les chiffres réels, il ne fait aucun doute que la cybercriminalité impose des coûts énormes à l'économie mondiale, et que ces coûts sont en hausse.
Pour les gouvernements et les organisations intergouvernementales, cela ne suffit pas à élaborer des politiques et à mesurer leur efficacité. Mais pour les entreprises individuelles, la conclusion est assez simple : il est essentiel d'investir de manière intelligente et ciblée dans la cybersécurité et la cyberassurance, dans la mesure où cela réduit réellement l'exposition de l'organisation au risque d'attaques coûteuses.
Avez-vous besoin de chiffres précis, qu'il s'agisse de coûts individuels moyens ou de coûts globaux, pour réaliser correctement ces investissements ? Je ne pense pas que ce soit le cas. Ce dont vous avez besoin, c'est d'une évaluation précise de vos propres vulnérabilités, sur la base des tendances en matière d'attaques et de l'élargissement des surfaces d'attaque. Et vous avez besoin d'un partenaire de cybersécurité capable de vous aider à effectuer cette évaluation et à proposer des solutions et des stratégies qui ciblent les domaines les plus à risque qui vous concernent.
Et c'est exactement ce que Barracuda fait, chaque jour, avec des organisations de toutes tailles, partout dans le monde.

Rapport 2025 sur les ransomwares
Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier
S’abonner au blog de Barracuda.
Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée
Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter