Le coût d'une violation (fuite) de données ne cesse de croître, pour atteindre un coût moyen de 3,79 millions de dollars, avec de fortes variations d'une région et d'un secteur à l'autre.
Le coût d'un enregistrement de données compromis varie de 217 dollars aux Etats-Unis ou 211 dollars en Allemagne, à 78 dollars au Brésil ou 56 dollars en Inde. Une variation très nette d'une région du monde à l'autre, avec une moyenne de 154 dollars l'enregistrement dérobé. La facture est également plus lourde dans certains domaines, comme la santé (363 dollars) ou l'éducation (300 dollars). C'est ce que révèle l'étude « 2015 Cost of Data Breach Study » qu'a mené l'Institut Ponemon pour le compte d'IBM.
Coûts en hausse...
Le coût des violations de données ne cesse de progresser, de 6 % en 2015 (et 12 % depuis 2013). De 145 dollars en 2014, il est donc passé à 154 dollars en 2015. Ce qui porte le coût global moyen par attaque malveillante et violation de données à 3,79 millions de dollars. Soit une progression de 23 % depuis 2013 ! Ce coût estimé d'une fuite de données est à comparer à celui d'une cyber-attaque, autrement plus virulente, que Ponemon avait estimé à 12,7 millions de dollars pour une entreprise américaine.
Le prix d'une violation de données prend en compte l'augmentation de la fréquence des attaques et le coût pour remédier à ses conséquences, la perte d'activité dont l'impact ne cesse d'augmenter, les coûts liés à la détection et à la correction de la violation. Un coût qui est principalement lié au temps nécessaire pour détecter et contenir une violation de données, avec ses coûts associés. Il apparaît en particulier que l'échec dans l'identification rapide une violation de données entraine des coûts plus élevés.
...attaques en hausse
Le phénomène est inquiétant, car dans le même temps il s'accompagne d'une hausse également croissante des attaques criminelles. En 2015, les violations de données proviennent de :
- 47 % - Des attaques malveillantes ou criminelles.
- 29 % - Des 'accidents' systèmes.
- 25 % - Des erreurs humaines.
Il se confirme que désormais la majorité des attaques dont sont victimes les entreprises proviennent de bandes criminelles organisées. Pour autant, IBM a tenu à rappeler que la majorité des infractions constatées, les attaques n'étant qu'une forme d'infraction, proviennent d'actions considérées comme non malicieuses.
Impliquer le board
Dernier constat extrait de l'étude « 2015 Cost of Data Breach Study », les coûts associés à une violation de données peuvent être réduits de 5,50 dollars par dossier si le conseil d'administration est impliqué dans la sécurité de l'entreprise. Ce phénomène serait dû à une meilleure gouvernance globale de l'entreprise sur les processus de protections de données