Le coût moyen d’une violation de données a augmenté de plus de 6% dans le monde, selon une étude du Ponemon Institute pour IBM.
IBM Security a publié l’étude 2018 sur le coût d’une violation de données réalisée par le Ponemon Institute. L’enquête a été menée auprès 2200 professionnels IT, Data et Conformité dans 15 pays et 477 entreprises (dont 31 en France) ayant été la cible d’une violation de données ces 12 derniers mois.
Premier constat : après une année de repli en valeur, la facture augmente. Ainsi, le coût moyen mondial d’une violation de données atteint désormais 3,86 millions de dollars par entreprise (+6,4% en un an). En France, il atteint même 4,27 millions de dollars (+8,2%). Et l’addition est bien plus salée encore aux États-Unis (7,91 M$).
Notons que les coûts de détection, investigation, gestion et réponse à incident sont inclus. Les coûts « cachés » (atteinte à la réputation, départ de clients, perte de revenus, coûts opérationnels….) le sont aussi.
En moyenne, 24 615 enregistrements de données (records) sont compromis lors d’une violation (25 336 en France). Et le coût moyen par enregistrement perdu ou volé dépasse désormais de 148 dollars (+4,8%) dans le monde (169 dollars en France.)
Ces violations sont, le plus souvent, liées à des attaques malveillantes ou criminelles ciblées (48% globalement, 55% en France). Les erreurs humaines interviennent dans 27% des cas globalement (19% en France) et les défaillances systèmes dans 25% des cas (26% en France).
Réduire les délais et les coûts
Plus une violation de données est identifiée et maîtrisée rapidement, moins les coûts sont élevés. Or, le délai moyen pour identifier une violation de données a atteint 197 jours (210 jours en France). Auxquels s’ajoutent une moyenne de 69 jours (75 jours en France) pour la contenir une fois celle-ci identifiée.
Ainsi, les entreprises qui ont contenu une violation en moins de 30 jours auraient économisé plus de 1 million de dollars par rapport à celles qui ont pris plus de 30 jours.
D’autres facteurs permettent de réduire la note, selon l’étude, dont la mise en place d’une équipe dédiée à la réponse à incidents (réduction de 14 $ par enregistrement compromis), et l’utilisation du chiffrement et de l’intelligence artificielle (réduction de 8 $).
Malgré tout, le risque qu’une organisation puisse être à nouveau la cible d’une violation de données dans les deux ans est estimé à 27,9% (35,1% en France).
Partie émergée de l’iceberg
Parallèlement à ces chiffres, le Ponemon Institute a estimé le coût d’une méga-violation de données (de 1 à 50 millions d’enregistrements perdus) à partir de l’analyse des cas de 11 entreprises.
Le coût moyen est ainsi estimé à près de 40 millions de dollars pour une violation portant sur 1 million d’enregistrements compromis. Il peut atteindre 350 millions de dollars pour 50 millions d’enregistrements de données détournés.
« Bien que les violations de données hautement médiatisées signalent souvent des pertes de plusieurs millions, ces chiffres sont très variables et souvent concentrés sur quelques coûts spécifiques qui sont facilement quantifiés », a déclaré Wendi Whitmore, responsable mondiale d’IBM X-Force Incident Response and Intelligence Services (IRIS). « La vérité est qu’il existe de nombreuses dépenses cachées ». Et que ces violations d’ampleur ne sont que la partie émergée de l’iceberg.
Source : www.silicon.fr