IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Quels sont les coûts cachés liés aux violations de données ?
Un aperçu dans une étude d'IBM Security

Le , par Michael Guilloux

18PARTAGES

12  0 
L’entité Sécurité d’IBM a annoncé les résultats d'une étude mondiale examinant l'impact financier complet d'une violation de données sur les résultats financiers d'une entreprise. Dans l'ensemble, l'étude a révélé que les coûts cachés associés aux violations de données - pertes de chiffre d’affaires (CA), impact négatif sur la réputation et temps passé par les employés sur la récupération des données - sont difficiles et coûteux à gérer.

Sponsorisée par IBM Security et menée par le Ponemon Institute, l'étude 2018 sur le coût d'une violation de données a révélé que le coût moyen d'une violation de données est globalement de 3,86 millions de dollars, soit une augmentation de 6,4 % par rapport au rapport de 2017. Basée sur des entretiens approfondis avec près de 500 entreprises ayant subi une violation de données, l'étude analyse des centaines de facteurs de coûts liés à une violation, des investigations techniques et la récupération, aux notifications, aux activités légales et réglementaires et au coût lié à la perte de CA et de réputation.

Cette année, pour la première fois, l'étude a également calculé les coûts associés aux "mégaviolations" allant de 1 à 50 millions d'enregistrements perdus, projetant que ces violations coûtent respectivement aux entreprises entre 40 et 350 millions de dollars.

« Bien que les violations de données hautement médiatisées signalent souvent des pertes de plusieurs millions, ces chiffres sont très variables et souvent concentrés sur quelques coûts spécifiques qui sont facilement quantifiés », a déclaré Wendi Whitmore, responsable mondiale d’IBM X-Force Incident Response and Intelligence Services (IRIS). « La vérité est qu'il existe de nombreuses dépenses cachées qui doivent être prises en compte, telles que les préjudices de réputation, la rotation de la clientèle, et les coûts opérationnels. Savoir où se situent les coûts et comment les réduire peut aider les entreprises à investir leurs ressources de façon plus stratégique et à réduire les énormes risques financiers en jeu », dit-il.

Coût d'une mégaviolation

Au cours des cinq dernières années, le nombre de mégaviolations (violations de plus d'un million d’enregistrements) a presque doublé - passant de 9 mégaviolations en 2013 à 16 mégaviolations en 2017. Basé sur l'analyse de 11 entreprises ayant subi une mégaviolation au cours des deux dernières années, le rapport de cette année utilise la modélisation statistique pour prévoir le coût des violations allant de 1 à 50 millions d'enregistrements compromis. En voici les principales conclusions :
  • le coût moyen d'une violation de données d’1 million d’enregistrements compromis est de près de 40 millions de dollars ;
  • à 50 millions d'enregistrements, le coût total estimé d'une violation est de 350 millions de dollars ;
  • la grande majorité de ces violations (10 sur 11) sont le résultat d'attaques malveillantes et criminelles (par opposition à des défaillances du système ou à des erreurs humaines) ;
  • le délai moyen pour détecter et contenir une mégaviolation était de 365 jours - presque 100 jours de plus que pour une violation à plus petite échelle (266 jours).

Pour les mégaviolations, la catégorie de dépenses la plus importante était les coûts associés à la perte de CA, estimée à près de 118 millions de dollars pour des violations de 50 millions d'enregistrements - presque un tiers du coût total d'une violation de cette taille. IBM a analysé les coûts publiquement déclarés de plusieurs cas importants de mégaviolations et a trouvé que les chiffres signalés sont souvent inférieurs au coût moyen trouvé dans l'étude. Cela est probablement dû au fait que les coûts déclarés publiquement se limitent souvent aux coûts directs, tels que la technologie et les services nécessaires pour se remettre de la violation, les frais légaux et réglementaires, et les dédommagements aux clients.


Quels sont les facteurs qui impactent le coût moyen d'une violation de données ?

Au cours des 13 dernières années, le Ponemon Institute a aussi examiné le coût associé aux violations de données de moins de 100 000 enregistrements, constatant que les coûts ont régulièrement augmenté au cours de l'étude. Le coût moyen d'une violation de données était de 3,86 millions de dollars dans l'étude de 2018, comparativement à 3,50 millions de dollars en 2014, ce qui représente une augmentation nette de près de 10 % au cours des cinq dernières années de l'étude.

L'étude a examiné également les facteurs qui augmentent ou diminuent le coût de la violation, et a montré que les coûts sont fortement impactés par le temps passé à contenir une violation de données, ainsi que par les investissements dans les technologies qui accélèrent le temps de réponse.

Le délai moyen pour identifier une violation de données dans l'étude était de 197 jours, et le délai moyen pour contenir une violation de données une fois identifiée était de 69 jours. Les entreprises qui ont contenu une violation en moins de 30 jours ont économisé plus d'un million de dollars par rapport à celles qui ont pris plus de 30 jours (3,09 millions de dollars contre 4,25 millions de dollars en moyenne).

La quantité d’enregistrements perdus ou volés a également une incidence sur le coût d'une violation, cela coûte en moyenne 148 $ par dossier perdu ou volé. L'étude a examiné plusieurs facteurs qui augmentent ou diminuent ce coût et a découvert que :
  • avoir une équipe de réponse aux incidents a été le facteur d'économie le plus important, réduisant le coût de 14 $ par enregistrement compromis ;
  • l'utilisation d'une plateforme d’intelligence artificielle pour la cybersécurité a réduit le coût de 8 $ par enregistrement perdu ou volé ;
  • les entreprises qui ont indiqué s’être précipitées pour notifier la violation avaient un coût plus élevé de 5 $ par enregistrement perdu ou volé.

Cette année, pour la première fois, le rapport examinait l'effet des outils d'automatisation de la sécurité qui utilisent l'intelligence artificielle, le machine learning, l'analytique et l'orchestration pour améliorer l’efficacité de l'intervention humaine dans l'identification et le confinement d'une violation. L'analyse a révélé que les entreprises qui avaient largement déployé des technologies de sécurité automatisées ont économisé plus de 1,5 million de dollars sur le coût total d'une violation (2,88 millions de dollars, contre 4,43 millions de dollars pour celles qui n'avaient pas automatisé la sécurité).

Différences régionales et sectorielles

L'étude a également comparé le coût des violations de données dans différents secteurs et régions, soulignant le fait que les violations de données sont les plus coûteuses aux États-Unis et au Moyen-Orient, et les moins coûteuses au Brésil et en Inde.

Les sociétés américaines ont connu le coût moyen le plus élevé d'une violation à 7,91 millions de dollars, suivies par celles du Moyen-Orient à 5,31 millions de dollars. Le coût total le plus bas d'une violation était de 1,24 million de dollars au Brésil, suivi par l’Inde avec 1,77 million de dollars.

L'un des principaux facteurs influant sur le coût d'une violation de données aux États-Unis était le coût lié au chiffre d’affaires perdu, qui s'élevait à 4,2 millions de dollars - plus que le coût moyen global d'une violation et plus du double des coûts liés au business perdu dans n’importe quelle autre région sondée. L'un des principaux facteurs ayant une incidence sur les coûts dus au CA perdu est la rotation de la clientèle suite à une violation. En fait, une autre étude d'IBM a révélé que 75 % des consommateurs aux États-Unis déclarent qu'ils ne feront pas affaire avec des entreprises auxquelles ils ne font pas confiance pour protéger leurs données.

Pour la huitième année consécutive, les organismes de soins de santé ont eu les coûts les plus élevés associés aux violations de données - 408 $ par enregistrement perdu ou volé - près de trois fois plus élevés que la moyenne intersectorielle (148 $).


Mais quel est le but de cette étude ? C'est ce qu'explique le Dr Larry Ponemon, Président et Fondateur du Ponemon Institute. « Le but de notre recherche est de démontrer la valeur de bonnes pratiques de protection des données et les facteurs qui font une différence tangible dans ce qu'une entreprise dépense pour résoudre une violation de données », a-t-il déclaré, avant de se prononcer sur la manière dont les entreprises peuvent réduire les coûts d'une violation de données : « Alors que les coûts liés aux violations de données augmentent régulièrement depuis le début de l'étude, nous voyons des signes positifs d'économies grâce à l'utilisation de technologies plus récentes et à une planification adéquate de réponse aux incidents, ce qui peut réduire considérablement ces coûts ».

Source : Rapport complet IBM

Et vous ?

Que pensez-vous des résultats de cette étude ?

Voir aussi :

La France a été la troisième région source d'attaques DDoS au 2T18 d'après un rapport qui souligne le rôle joué par les appareils IdO non sécurisés
Des chercheurs en sécurité ont découvert d'autres applications du Mac App Store en train de voler des données utilisateur, et ont été supprimées
Cybersécurité : 87 % des attaques ciblées sont évitées, mais leur nombre a doublé en 2018, d'après une étude d'Accenture sur les grandes entreprises
UK : les hackers dérobent les informations de cartes de crédit de 380 000 clients de British Airlines, en piratant son site web de réservation
Les 12 failles humaines de la sécurité IT en 2018, par Christophe da Fonseca, Sales Development Manager France chez Paessler AG

Une erreur dans cette actualité ? Signalez-nous-la !