La cybercriminalité constitue une menace constante pour les entreprises britanniques. Alors que de nombreuses organisations dépendent d’une chaîne d’approvisionnement numérique et utilisent des plates-formes basées sur le cloud pour stocker leurs données, les opportunités pour les acteurs malveillants d’exploiter les vulnérabilités se multiplient et les entreprises se démènent pour suivre le rythme.
En fait, 100 % de notre Rapport sur l'état de la sécurité de l'information les personnes interrogées – plus de 1,500 12 professionnels de la sécurité de l’information – déclarent que leur organisation a été confrontée à un incident de cybersécurité ou de sécurité de l’information au cours des 99 derniers mois. En plus des pertes financières potentielles résultant de ces incidents, XNUMX % des personnes interrogées au Royaume-Uni ont reçu des amendes réglementaires pour violation de données ou violation des règles de protection des données.
À l'aide des données communiquées à Action Fraud et de notre rapport sur l'état de la sécurité des informations, Christie Rae examine l'impact financier de la cybercriminalité sur les entreprises britanniques* et la manière dont les organisations peuvent améliorer leurs défenses en matière de sécurité des informations.
Les cinq principaux cybercrimes ayant un impact sur les entreprises britanniques
Action Fraud répertorie plusieurs crimes différents dans la catégorie des crimes cyberdépendants. Ceux-ci sont:
- NFIB50A – Virus informatique/logiciels malveillants/spywares
- NFIB51A – Attaque par déni de service
- NFIB51B – Attaque par déni de service – Extorsion
- NFIB52A – Piratage – Serveur
- NFIB52B – Piratage – Personnel
- NFIB52C – Piratage – Réseaux sociaux et courrier électronique
- NFIB52D – Piratage – PBX/Dial through
- NFIB52E – Piratage – Extorsion.
Vous trouverez ci-dessous les cinq principaux cybercrimes ayant un impact sur les organisations britanniques.
| Type de fraude (Top 5) | Volume du rapport | Perte financière | Perte moyenne par rapport** |
| NFIB50A – Virus informatique \ Malware \ Spyware | 274 | £908,196 | £3,315 |
| NFIB52C – Piratage – Médias sociaux et courrier électronique | 1,944 | £783,704 | £403 |
| NFIB52E – Piratage et extorsion | 411 | £401,923 | £978 |
| NFIB52B – Piratage – Personnel | 199 | £98,565 | £495 |
| NFIB52A – Piratage – Serveur | 398 | £0 | £0 |
| Total | 3,226 | £2,192,388 | £680 |
1. NFIB50A – Virus informatique/logiciels malveillants/logiciels espions
Description du crime du National Fraud Intelligence Bureau (NFIB)[1]: Les délits doivent être enregistrés dans cette section jusqu'au moment où le contrevenant utilise réellement le logiciel malveillant. Lorsque le délinquant utilise le logiciel malveillant, cela devient un ciblage délibéré de cet ordinateur.
Lorsque des logiciels malveillants sont utilisés pour obtenir des détails en vue de commettre une fraude ou d'autres infractions d'utilisation abusive d'un ordinateur, ces infractions constituent le crime principal et doivent être enregistrées. Le logiciel malveillant a été utilisé pour permettre la commission d'une autre infraction et aucune infraction ne doit être enregistrée dans cette section si elle est signalée en même temps.
Exemple : M. A signale à Action Fraud qu'il a cliqué sur un lien permettant de télécharger un programme. Il a exécuté un programme anti-spyware et on lui a dit que le programme était un programme d'enregistrement de frappe et qu'il avait été supprimé avec succès. Un délit de modification non autorisée de matériel informatique (classe NFIB50A). Une semaine plus tard, il contacte Action Fraud pour signaler qu'aujourd'hui, son compte bancaire en ligne a été consulté illégalement et que 2000 5 £ lui ont été volés en modifiant un ordre permanent pour payer son hypothèque. Un délit supplémentaire de fraude au mandat (NFIBXNUMXD) devrait être enregistré.
Volume total du rapport : 274
Perte financière totale : £908,196
Perte moyenne par rapport : £3,315
Entre janvier 2023 et juin 2024, les entreprises britanniques ont perdu plus de 900,000 274 £ à cause de virus informatiques, de logiciels malveillants ou de logiciels espions dans seulement 3,300 rapports, ce qui signifie qu'un seul incident de logiciel malveillant coûte aux entreprises plus de 35 12 £ en moyenne. Les logiciels malveillants constituent l'incident de cybersécurité le plus signalé dans notre rapport sur l'état de la sécurité de l'information, avec plus d'un tiers (XNUMX %) des organisations ayant été confrontées à un incident de logiciel malveillant au cours des XNUMX derniers mois.
2. NFIB52C – Piratage – Médias sociaux et courrier électronique
Description du crime NFIB : Ce crime inclut toutes les formes de comptes de messagerie individuels et toutes les formes de médias sociaux individuels, par exemple X et Facebook. Il comprend les comptes personnels ainsi que les comptes individuels des entreprises ou organisations. Cette fraude ne doit pas être considérée comme limitée aux ordinateurs de bureau ou portables. Il peut s’agir de tout appareil utilisant un logiciel d’exploitation accessible en ligne, par exemple les consoles de jeux et les smartphones.
Volume total du rapport : 1,944
Perte financière totale : £783,704
Perte moyenne par rapport : £403
Le piratage des réseaux sociaux et des e-mails a coûté aux entreprises plus de 780,000 18 £ au cours des 32 derniers mois. Notre rapport sur l'état de la sécurité de l'information révèle que l'ingénierie sociale est le deuxième incident de cybersécurité le plus courant, vécu par XNUMX % des personnes interrogées.
3. NFIB52E – Piratage – Extorsion
Description du crime NFIB : Cela se produit lorsqu'il existe une demande injustifiée comportant des menaces (chantage) liées à tout piratage informatique ou menace de piratage informatique. L’extorsion peut concerner n’importe quelle classe NFIB sous NFIB52 Computer Hacking.
Exemple : ABC Ltd rapporte qu'elle a reçu une demande de paiement de 100,000 52 £, sinon une copie du code de son nouveau jeu informatique sera publiée sur le World Wide Web. Ils sont extrêmement inquiets, car la semaine dernière, ils ont reçu une clé USB sur laquelle est copiée une partie du code de leur serveur. Piratage informatique criminel (extorsion) (classe NFIBXNUMXE).
Volume total du rapport : 411
Perte financière totale : £401,923
Perte moyenne par rapport : £978
Notre rapport révèle qu'au cours des 12 derniers mois, 29 % des organisations, soit près d'une sur trois, ont été victimes d'une attaque de ransomware. Les cas d'extorsion de piratage ont causé plus de 400,000 12 £ de pertes aux entreprises britanniques au cours des 180,000 derniers mois, dont 2024 XNUMX £ de ces pertes ont été réalisées en XNUMX malgré un nombre considérablement réduit de rapports.
4. NFIB52B – Piratage – Personnel
Description du crime NFIB : Accès non autorisé à du matériel informatique dans l'intention de commettre ou de faciliter la commission d'autres infractions. Lorsque les actions du pirate informatique ne sont que préparatoires et qu'aucune infraction substantielle n'a été commise dans le cadre d'une autre infraction de fraude, une infraction doit alors être enregistrée dans cette section.
Volume du rapport : 199
Perte financière: £98,565
Perte moyenne par rapport : £495
Les organisations ont perdu près de 100,000 35 £ à cause du piratage d’appareils personnels, tels qu’un ordinateur portable ou un téléphone mobile. Des mesures robustes de sécurité des appareils de travail ainsi que la formation et la sensibilisation des employés sont essentielles pour lutter contre ce type d’attaque. Dans notre rapport, XNUMX % des organisations ont déclaré que leurs employés avaient utilisé des appareils personnels à des fins professionnelles sans mesures de sécurité appropriées, ce qui en fait la principale erreur de cybersécurité commise par les employés.
5. Piratage NFIB52A – Serveur
Description du crime NFIB : Pour que les crimes soient enregistrés dans cette section, les fichiers ou services modifiés doivent se trouver sur le serveur et non sur le disque dur local d'un ordinateur.
Exemple : Un employé laisse son ordinateur de bureau connecté lorsqu'il quitte le bureau. Un collègue accède alors à ses dossiers d'emploi conservés sur le serveur et modifie certains détails enregistrés dans son dossier en utilisant l'ordinateur connecté. Un crime de Hacking-Server (classe NFIB52A).
Volume total du rapport : 398
Perte financière: £0
Perte moyenne par rapport : £0
Les organisations n’ont subi aucune perte financière due au piratage de serveurs au cours des 18 derniers mois. Cependant, cela est probablement dû aux règles d’enregistrement des délits de la NFIB, qui stipulent que « lorsque l’accès non autorisé a directement permis la commission d’un autre délit de fraude, le délit principal sera l’autre délit de fraude ».
Pertes financières totales des entreprises dues aux crimes cyberdépendants
Entre janvier 2023 et juin 2024, les entreprises ont signalé près de 3,500 2,234,788 cybercrimes avec des pertes financières de 2,377 1,367,477 12 £ à Action Fraud. XNUMX XNUMX rapports et XNUMX XNUMX XNUMX £ de pertes ont été réalisés au cours des XNUMX derniers mois.
Janvier 2023 a vu les pertes financières les plus élevées, avec 179 rapports, 580,734 3,244 £ de pertes financières et 2023 191 £ de perte moyenne estimée par rapport. Juin XNUMX a connu les pertes financières les plus faibles, avec XNUMX signalements mais aucune perte financière.
| Mois | Volume du rapport | Perte financière | Perte moyenne par rapport |
| Jan-23 | 179 | £580,734 | £3,244 |
| Feb-23 | 194 | £196,743 | £1,014 |
| Mar-23 | 216 | £40,862 | £189 |
| Apr-23 | 176 | £30,067 | £170 |
| Mai-23 | 166 | £18,905 | £113 |
| Jun-23 | 191 | £0 | £0 |
| Jul-23 | 196 | £95,963 | £489 |
| Aug-23 | 208 | £160,237 | £770 |
| Sep-23 | 215 | £254,252 | £1,182 |
| Oct-23 | 214 | £2,956 | £13 |
| Nov-23 | 222 | £74,249 | £334 |
| Dec-23 | 177 | £114,920 | £649 |
| Jan-24 | 196 | £423,500 | £2,160 |
| Feb-24 | 200 | £89,000 | £445 |
| Mar-24 | 191 | £2,200 | £11 |
| Apr-24 | 179 | £24,000 | £134 |
| Mai-24 | 173 | £120,400 | £695 |
| Jun-24 | 206 | £5,800 | £28 |
| Total | 3,499 | £2,234,788 | £638 |
Le tableau ci-dessous présente le nombre total de signalements de cybercriminalité et de pertes financières signalés par des entreprises et des particuliers entre janvier 2023 et juin 2024. Seulement 5.7 % des délits cyberdépendants signalés ont été signalés par des entreprises, mais ils représentaient 30 % du total. pertes financières totales.
| Total des crimes cyberdépendants, janvier 2023-juin 2024 | ||
| Date | Volume du rapport | Perte financière |
| Jan-23 | 2,176 | £670,752 |
| Feb-23 | 1,972 | £442,071 |
| Mar-23 | 2,517 | £659,304 |
| Apr-23 | 2,267 | £253,575 |
| Mai-23 | 2,965 | £547,045 |
| Jun-23 | 2,874 | £310,386 |
| Jul-23 | 3,952 | £718,226 |
| Aug-23 | 3,313 | £332,210 |
| Sep-23 | 3,224 | £500,528 |
| Oct-23 | 3,670 | £363,292 |
| Nov-23 | 3,957 | £264,566 |
| Dec-23 | 3,439 | £490,098 |
| Jan-24 | 4,028 | £890,500 |
| Feb-24 | 3,777 | £215,300 |
| Mar-24 | 4,101 | £242,700 |
| Apr-24 | 3,849 | £187,100 |
| Mai-24 | 4,461 | £257,600 |
| Jun-24 | 4,436 | £219,400 |
| Total | 60,978 | £7,564,652 |
Combien l’entreprise britannique moyenne perd-elle par an ?
Notre rapport sur l'état de la sécurité des informations révèle que 99 % des entreprises britanniques ont reçu des amendes pour violation de données ou violation des règles de protection des données au cours des 12 derniers mois. Les répondants ont révélé le montant total des amendes reçues par leur organisation :
| Montant de l'amende | Nombre de répondants |
| Jusqu'à £ 50,000 | 36 |
| £ £ 50,001- 100,000 | 101 |
| £ £ 101,000- 250,000 | 177 |
| £ £ 250,001- 500,000 | 133 |
| £ £ 500,001- 1,000,000 | 51 |
| Plus de 1,000,000 XNUMX XNUMX £, veuillez préciser | 0 |
| Nous n'avons pas reçu d'amende pour violation de données ou violation des règles de protection des données au cours des 12 derniers mois | 4 |
Le montant total moyen des amendes infligées aux entreprises s'élève à 366,475 2023 £***, tandis que la perte financière moyenne résultant d'un seul signalement de crime cyberdépendant par les organisations à Action Fraud au cours de la même période (avril 2024 à mars 538.37) était de 367,013 £. Les organisations auraient pu perdre jusqu’à XNUMX XNUMX £ à la suite d’un seul incident.
Prévenir les cyberattaques avec la norme ISO 27001
Les principaux crimes cyberdépendants signalés à Action Fraud montrent que tirer parti de l’erreur humaine est une cible clé pour les acteurs de la menace. En réponse, les organisations se concentrent sur la formation de leurs employés à la sécurité des informations. Près de la moitié (45 %) des personnes interrogées dans notre rapport sur l'état de la sécurité de l'information déclarent que leur organisation a mis davantage l'accent sur l'éducation et la sensibilisation des employés, et 35 % déclarent que les plateformes de gestion de l'apprentissage se sont révélées être la méthode la plus efficace.
La certification aux normes de sécurité de l'information comme ISO 27001 aide les entreprises à adopter une approche approfondie pour renforcer leurs défenses de sécurité, réduisant ainsi le risque de cyberincidents. Pour obtenir la certification ISO 27001, les entreprises doivent créer, maintenir et améliorer continuellement un système de gestion de la sécurité de l'information (SMSI) conforme à la norme ISO 27001 et réussir un audit externe.
Gestion du risque
La gestion continue des risques liés à la sécurité de l'information est une exigence de la clause 27001 de la norme ISO 6.1, actions visant à faire face aux risques et aux opportunités. Votre organisation doit identifier les risques associés à chaque actif informationnel dans le cadre de votre SMSI et sélectionner le traitement de risque approprié pour chaque risque : traiter, transférer, tolérer ou mettre fin.
L'Annexe A de la norme ISO 27001 décrit les 93 contrôles que votre organisation doit prendre en compte lors de la gestion des risques, et une justification doit être fournie pour la décision d'appliquer ou de ne pas appliquer un contrôle dans votre déclaration d'applicabilité (SoA). Cette approche approfondie de la gestion et du traitement des risques permet à votre organisation d'identifier, de traiter et d'atténuer les risques tout au long de leur cycle de vie, réduisant ainsi la probabilité d'un incident et réduisant l'impact en cas d'incident.
Progrès continu
La norme ISO 27001 promeut l'amélioration continue de la sécurité de l'information, y compris une sensibilisation continue à la sécurité de l'information à l'échelle de l'organisation. La sensibilisation joue un rôle clé dans la conformité à la norme ISO 27001 ; L'annexe A.6.3, la sensibilisation, l'éducation et la formation à la sécurité de l'information et à la vie privée est l'un des 93 contrôles de la norme. Le contrôle garantit que les employés sont conscients et s’acquittent de leurs responsabilités en matière de sécurité de l’information.
Prenez position contre la cybercriminalité coûteuse
Les statistiques d'Action Fraud et du rapport sur l'état de la sécurité de l'information d'ISMS.online révèlent que la cybercriminalité représente un défi continu et croissant pour les entreprises britanniques. Les signalements de cybercriminalité augmentent d'année en année et les organisations victimes de violations de données ou qui ne respectent pas les exigences réglementaires s'exposent à des amendes importantes.
Il est désormais temps pour les entreprises de redoubler d’efforts en matière de sécurité des informations.
Améliorer la sensibilisation du personnel et des parties prenantes est essentiel pour réduire le risque d’incidents causés par une erreur humaine. La création d'un SMSI robuste et conforme aux exigences de la norme ISO 27001 ajoutera des couches de défense supplémentaires. La certification ISO 27001 améliore la résilience organisationnelle et offre un avantage concurrentiel par rapport aux entreprises qui se concentrent moins sur leur posture de sécurité.
-
Les sources de données:
- Données ISMS.online State of Information Security 2024, recherche menée par la société d’études de marché indépendante Censuswide.
- Données d'Action Fraud 2023 issues de la demande d'accès à l'information FOI2024/00990, police de la ville de Londres, reçue le 25/7/2024.
- Données sur la fraude Action 2024 du tableau de bord du National Fraud Intelligence Bureau, collectées le 25/7/24.
*Ces données n'incluent pas les informations de la Police Scotland, qui est responsable de la collecte et de la répression des activités frauduleuses affectant les victimes écossaises. Les données fournies par Action Fraud concernent les activités frauduleuses en Angleterre, au Pays de Galles, en Irlande du Nord et les activités frauduleuses signalées directement à Action Fraud par des organisations et des individus écossais.
**Perte moyenne par rapport calculée en divisant la perte financière par le volume du rapport
***Amende moyenne calculée en divisant l'amende moyenne par le nombre de répondants
[1] https://assets.publishing.service.gov.uk/media/645b7b87479612000fc29318/nfib-fraud-april-2023.pdf
