Une faille de sécurité peut coûter jusqu’à 3,6 millions d’euros aux entreprises

L’étude « 2016 Cost of Data Breach Study: Global Analysis Benchmark research » menée par le Ponemon Institute montre que le coût total moyen d'une violation de données, pour les 383 entreprises dans 12 pays ayant participé à cette étude, est passé de 3,4 millions d’euros l'année dernière, à déjà 3,6 millions d’euros cette année.

Le coût moyen payé pour chaque fichier perdu ou dérobé contenant des informations sensibles et confidentielles est passé de 140 euros en 2015 à 144 euros cette année, selon cette étude dédiée à la promotion des pratiques de confidentialité et de protection des données.

En plus de l’analyse du coût des données, l'étude se penche sur la probabilité qu'une entreprise subisse une ou plusieurs failles de sécurité dans les 24 prochains mois. Les chercheurs estiment à 26% la probabilité d'une violation de données importante impliquant au minimum 10 000 dossiers perdus ou dérobés. Selon les résultats de l’étude pour cette année, les entreprises situées au Brésil et en Afrique du Sud sont les plus susceptibles de subir de telles violations de données. En revanche, les entreprises localisées en Allemagne et en Australie sont moins à même d’être touchées.

Toutes les entreprises ayant participé à cette étude ont déjà connu une violation de données allant de 3 000 à plus de 100 000 dossiers compromis. Le Ponemon Institute définit d’ailleurs un « dossier compromis » comme un dossier identifiant la personne dont les renseignements ont été perdus ou volés dans le cadre d’une violation de données.

Les violations de données les plus coûteuses se situent aux États-Unis et en Allemagne ; tandis que les moins coûteuses sont au Brésil et en Inde. Le coût moyen d'une violation de données par employé était de 200 euros aux États-Unis et 192 euros en Allemagne. Le coût le plus bas est au Brésil (90 euros) et en Inde (55 euros). Le coût total moyen pour une entreprise aux États-Unis est de 6,3 millions d’euros et 4,5 millions d’euros en Allemagne. Le coût par entreprise le plus bas est en Inde (1,45 millions d’euros) et en Afrique du Sud (1,7 millions d’euros).

Plus le nombre de dossiers perdus ou dérobés est grand, plus le coût de la violation de données sera élevé. Dans l'étude, pour cette année, le coût varie de 1,9 millions d’euros pour une perte de moins de 10 000 dossiers à 6 millions d’euros pour plus de 50 000 dossiers perdus ou volés.

D’après le rapport, le coût des violations de données varie selon le secteur d’activité. Alors que le coût global moyen par dossier perdu ou volé était de 143 euros, les organismes de santé ont un coût moyen de 322 euros et les établissements d'enseignement ont un coût moyen de 223 euros. Les transports (117 euros), la recherche (101 euros) et le secteur public (72 euros) ont quant à eux le plus faible coût moyen par dossier perdu ou volé.

Ce sont les cybercriminels et les employés malveillants qui sont à l’origine de la plupart des violations de données, selon le rapport. Environ la moitié (48%) de toutes les violations étudiées cette année lors de cette recherche a été causée par des attaques malveillantes ou criminelles. Le coût moyen par dossier pour résoudre une telle attaque est de 154 euros. En revanche, des bugs de programmation coûtent 125 euros par dossier et l'erreur humaine ou la négligence coûtent 120 euros par dossier. Les entreprises des États-Unis et du Canada sont celles qui ont dépensé le plus pour résoudre une attaque malveillante ou criminelle (214 euros par dossier aux États-Unis et 208 euros par dossier au Canada).

L'existence d'équipes de réponse aux incidents et l'utilisation de plus en plus généralisée du chiffrement par les entreprises ont permis de diminuer le coût des violations de données. Une équipe de réponse aux incidents a réduit de 15 euros, le coût d’une violation par dossier passant de 143 euros à 128 euros.

Pendant les années durant lesquelles le Ponemon Institute a analysé les violations de données dans plus de 2 000 entreprises, l’étude a révélé sept grandes tendances, selon Larry Ponemon, Président et Fondateur de l'institut :

 

·         Les violations de données représentent désormais un coût récurent associé à la cybercriminalité d’aujourd’hui.

·         La conséquence financière la plus importante pour les entreprises qui ont subi une violation de données est la perte d’opportunités commerciales.

·         La plupart des violations de données continuent d’être causées par des attaques criminelles et malveillantes.

·         Les entreprises reconnaissent que plus il faut de temps pour détecter et contenir une violation de données, plus elle devient coûteuse.

·         Des organismes très réglementés tels que la santé et les services financiers subissent des violations de données plus coûteuses en raison d'amendes qu’elles doivent payer lors des manquement à la réglementation et de pertes commerciales et de clientèles plus élevées que la moyenne.

·         L'amélioration des initiatives de gouvernance des données permettra de réduire le coût des violations de données.

·         Les investissements dans certains outils de contrôle et des solutions de chiffrement et de sécurité au niveau des endpoints sont primordiaux pour prévenir des violations de données.

Ce sont des indications précieuses pour toute entreprise cherchant à réduire la probabilité de se faire attaquer, ainsi que les coûts liés à ces incidents.