La cybercriminalité représente une menace croissante pour les entreprises et les particuliers du monde entier, car les acteurs malveillants tentent d’accéder à des données sensibles ou à des finances par presque tous les moyens nécessaires. Au Royaume-Uni, les données d’Action Fraud montrent que les entreprises ont signalé plus de 1,600 2024 cybercrimes – sans compter les fraudes – entre janvier et septembre XNUMX.
Dans l'esprit d'Halloween et de statistiques effrayantes, nous examinons les régions qui ont enregistré le plus grand nombre de signalements de cybercriminalité par les organisations en 2024 et comment défendre votre entreprise contre les cyberincidents.
Combien les entreprises ont-elles perdu au total à cause de la cybercriminalité ?
Les données d'Action Fraud ont révélé que les organisations ont signalé un total de 1,613 932,200 cybercrimes et des pertes de 2024 XNUMX £ entre janvier et septembre XNUMX.
| Mois | Rapports sur la cybercriminalité | Pertes signalées en raison de la cybercriminalité |
| le 2024 janvier | 196 | £423,500 |
| 2024 février | 200 | £89,000 |
| Mars 2024 | 191 | £2,200 |
| Avril 2024 | 179 | £24,000 |
| Mai 2024 | 173 | £120,400 |
| Juin 2024 | 206 | £5,800 |
| Juillet 2023 | 182 | £63,000 |
| Août 2024 | 149 | £190,000 |
| Septembre 2024 | 137 | £14,300 |
| Total | 1613 | £932,200 |
Janvier 2024 a été le mois le plus touché en termes de pertes financières, avec 423,500 45 £, soit 206 % des pertes économiques totales enregistrées au cours des neuf mois. Le nombre le plus élevé de cybercrimes a été enregistré en juin, avec 5,800 signalements et 137 14,300 £ de pertes signalées. Parallèlement, le mois de septembre a enregistré le moins de signalements de cybercrimes, avec XNUMX signalements et XNUMX XNUMX £ de pertes signalées.
Où les entreprises ont-elles signalé le plus de cybercrimes ?
Ces données sont enregistrées par la police plutôt que par région. Sans surprise, la police métropolitaine de Londres a reçu le plus grand nombre de signalements de cybercriminalité de la part d'organisations, avec 325 signalements effectués entre janvier et septembre et un total de 69,100 97 £ de pertes financières. Les cinq autres premières places ont été occupées par le Grand Manchester (82 signalements), la vallée de la Tamise (54 signalements), le Yorkshire de l'Ouest (47 signalements) et les West Midlands (XNUMX signalements).
| Rang | Force de police | Nombre de rapports | Pertes financières déclarées |
| 1 | Metropolitan | 325 | £69,100 |
| 2 | Greater Manchester | 97 | £891 |
| 3 | Vallée de la Tamise | 82 | £400 |
| 4 | West Yorkshire | 54 | £50,000 |
| 5 | West Midlands | 47 | £565 |
Les données démontrent qu'un nombre élevé de signalements n'entraîne pas toujours des pertes financières plus importantes. Alors que le Grand Manchester se classe au deuxième rang, les entreprises n'ont perdu que 891 £ au cours des neuf derniers mois, et les entreprises de la vallée de la Tamise ont perdu 400 £ à cause de 82 incidents.
Cybercriminalité : un jeu de hasard à enjeux élevés
En classant les régions en fonction des pertes financières signalées plutôt qu'en fonction du nombre de signalements, nous constatons à nouveau que le nombre de cybercrimes n'augmente pas nécessairement le montant des pertes économiques subies par les entreprises :
| Rang | Force de police | Nombre de rapports | Pertes financières déclarées |
| 1 | Surrey | 31 | £442,000 |
| 2 | Inconnu | 101 | £109,200 |
| 3 | Hampshire | 46 | £105,000 |
| 4 | City of London | 35 | £98,700 |
| 5 | Metropolitan | 325 | £69,100 |
Les organisations du Surrey n'ont enregistré que 31 rapports en neuf mois, mais des pertes financières stupéfiantes de 442,000 47 £, soit près de la moitié (2024 %) des pertes financières totales liées à la cybercriminalité signalées par les entreprises en 325. De la liste précédente des forces de police ayant enregistré le plus grand nombre de rapports, seule la police métropolitaine de Londres figure sur cette liste, se classant cinquième avec 69,100 rapports et XNUMX XNUMX £ de pertes.
L'absence de corrélation entre le nombre de signalements effectués auprès des forces de police et les pertes financières signalées démontre le caractère indiscriminé de la cybercriminalité. Une seule attaque bien exécutée peut faire perdre à une entreprise des milliers, voire des centaines de milliers de livres sterling. La perte financière moyenne par cybercriminalité signalée dans le Surrey en 2024 s'élève à 14,258 213 £, contre XNUMX £ en moyenne pour la métropole de Londres, bien que la métropole ait signalé plus de dix fois plus de cybercrimes.
Rapports d'incidents et conformité réglementaire
Les statistiques d'Action Fraud ne représentent que les données déclarées. De nombreux cybercrimes ne sont probablement pas signalés, car les entreprises tentent de gérer les incidents sans intervention de la police et de réduire l'impact sur leur assurance et leur réputation.
A Étude 2021 de Van de Weijer et al. L’étude a montré à 529 participants trois vignettes sur des incidents de cybercriminalité fictifs et leur a demandé comment ils réagiraient dans une telle situation. L’étude indique que « la grande majorité des propriétaires de PME ont déclaré qu’ils signaleraient les incidents décrits dans les vignettes à la police, mais après une victimisation réelle, seulement 14.1 % des cybercrimes ont été signalés à la police ».
La déclaration des cybercrimes est désormais une obligation pour les organisations opérant dans l'Union européenne en vertu de la nouvelle directive sur la sécurité des réseaux et de l'information (NIS 2) La directive européenne sur la cybersécurité, entrée en vigueur ce mois-ci, prévoit que les organisations qui ne s'y conforment pas, notamment celles qui ne signalent pas les incidents cybernétiques, risquent des sanctions financières, voire l'interdiction d'exercer leurs activités sur un territoire. La déclaration des incidents cybernétiques sera également une obligation en vertu de l'acte législatif européen sur la cyber-résilience lorsqu'il entrera en vigueur.
Heureusement, la norme de sécurité de l’information reconnue à l’échelle internationale ISO 27001 peut fournir un cadre pour la conformité NIS 2 et vous aider à défendre votre entreprise contre les cybermenaces.
Utilisation de la norme ISO 27001 pour prévenir les cyberincidents et s'aligner sur la norme NIS 2
La certification ISO 27001 aide les entreprises à améliorer leur posture de sécurité et à réduire efficacement le risque de cyberincidents. Certification ISO 27001, une organisation doit construire, maintenir et améliorer continuellement une organisation conforme à la norme ISO 27001 système de gestion de la sécurité de l'information (ISMS) et réussir un audit externe réalisé par un organisme d’audit accrédité.
Un SMSI certifié ISO 27001 peut améliorer les défenses de sécurité des informations de votre organisation et se conformer à la norme NIS 2 des manières suivantes :
Gestion du risque
La gestion et le traitement des risques sont des exigences de la clause 27001 de la norme ISO 6.1, Actions pour gérer les risques et les opportunités, et de l'article 2 de la norme NIS 21. Votre organisation doit identifier les risques associés à chaque actif d'information dans le cadre de votre SMSI et sélectionner le traitement des risques approprié pour chaque risque : traiter, transférer, tolérer ou mettre fin.
L'annexe A de la norme ISO 27001 décrit les 93 contrôles que votre organisation doit prendre en compte dans le processus de gestion des risques. Dans votre déclaration d'applicabilité (SoA), vous devez justifier la décision d'appliquer ou non un contrôle. Cette approche approfondie de la gestion et du traitement des risques permet à votre organisation d'identifier, de traiter et d'atténuer les risques tout au long de leur cycle de vie, réduisant ainsi la probabilité d'un incident et l'impact en cas d'incident.
Réponse aux incidents
Votre organisation doit mettre en œuvre des processus de gestion des incidents et des journaux d'incidents conformes aux annexes A.27001, A.5.24 et A.5.25 de la norme ISO 5.26, qui se concentrent sur la planification, la préparation, les décisions et les réponses en matière de gestion des incidents de sécurité de l'information. Une procédure de gestion des incidents et un journal des réponses sont également requis par l'article 2 de la norme NIS 21. Cela garantit que votre organisation dispose d'un processus pour gérer et minimiser l'impact de tout incident.
Formation et sensibilisation des employés
La promotion d'une culture de sensibilisation à la sécurité de l'information est un élément essentiel de la norme ISO 27001 et est tout aussi essentielle à la conformité à la norme NIS 2, qui est requise par l'annexe A.27001 de la norme ISO 6.3, Sensibilisation, éducation et formation à la sécurité de l'information, et par l'article 2 de la norme NIS 21. La mise en œuvre d'un plan de formation et de sensibilisation vous permet de sensibiliser vos employés aux cyber-risques. Il est également essentiel de veiller à ce que les employés connaissent l'importance de mots de passe forts conformément à votre politique de mots de passe ISO 27001.
Les acteurs malveillants exploitent souvent l’erreur humaine dans leurs tentatives d’accéder à des informations sensibles, allant jusqu’à persuader les employés d’effectuer des transactions financières via des e-mails de phishing ou des deepfakes sophistiqués alimentés par l’IA. Sur les 1,613 919 cybercrimes signalés à Action Fraud par les entreprises britanniques cette année, 56 (XNUMX %) ont été enregistrés sous le code de piratage des réseaux sociaux et des e-mails. Il est essentiel de mettre en place un plan de formation et de sensibilisation et d’éduquer les employés pour réduire le risque de ces incidents.
Améliorez votre posture de sécurité des informations dès aujourd'hui
Avec de nouvelles réglementations en matière de cybersécurité, telles que le Cyber Resilience Act et le Digital Operational Resilience Act (DORA), qui se profilent à l’horizon, il est désormais temps d’aller de l’avant. Réservez votre démo pour apprendre à atténuer les risques, renforcer votre réputation, naviguer dans le paysage réglementaire complexe et atteindre la conformité à la norme ISO 27001 à l'aide d'ISMS.online. Vous pouvez également découvrir des conseils pratiques pour maîtriser la conformité NIS 2 grâce à la norme ISO 27001 dans notre webinaire avec des experts d'A-LIGN, Cybercontrols.io et ISMS.online.
