Les violations de données sont plus coûteuses et plus impactantes que jamais, le coût moyen d'une violation de données atteint le chiffre record de 4,35 millions de dollars au niveau mondial en 2022.
Évaluer le coût d’une intrusion réussie dans les données d’une entreprise est une tâche hasardeuse, car le montant de la rançon, exigée ou payée, ne rend pas compte de la valeur de ces données pour l’entreprise victime. Certes ont peut calculer la valeur commerciale d’une donnée, mais pas vraiment sa contribution à l’innovation, l’agilité et la mise en place de processus et d’automatismes pour économiser le temps et les efforts des collaborateurs. En somme, son exploitation sur le moyen/long terme par l’entreprise.
C’est pour cette raison que, pour les besoins d’une étude, Cost of a Data Breach, réalisée par Ponemon Institute pour le compte d’IBM, les enquêteurs ont essayé de déterminer le coût d’une brèche en intégrant des dizaines de facteurs qui influent sur ces coûts, et qui continuent de s'accumuler après une violation de données. Au cours des entretiens, ils ont posé des questions afin de déterminer le coût pour les organisations de différentes activités liées directement à la réponse immédiate et prolongée aux violations de données.
L’étude a été menée auprès de 550 entreprises (3 600 répondants) touchées par des violations de données survenues entre mars 2021 et mars 2022. Les brèches ont eu lieu dans 17 pays et régions et dans 17 secteurs d'activité différents. La France est représentée par 33 organisations victimes de violations de données. Elle révèle que les secteurs les plus touchés sont les services financiers, l’industrie pharmaceutique et le secteur de la technologie.
83 % ont subi de multiples violations de données
Le coût moyen mondial d'une violation de données a atteint le chiffre record de 4,35 millions de dollars pour les organisations interrogées(3,95 millions d’euros en France). Globalement, les coûts des violations ayant augmenté de près de 13 % au cours des deux dernières années, ils ont contribué à l’inflation actuelle, car 60 % des organisations étudiées ont augmenté le prix de leurs produits ou services en raison de ces violations. Ceci est à additionner au coût des marchandises déjà en augmentation dans le monde entier en raison de l'inflation et des problèmes de chaîne d'approvisionnement.
Le rapport d'IBM révèle en outre que 83 % des organisations étudiées ont subi plus d'une violation de données au cours de leur existence. Si l’on prend en considération les effets à long terme, par définition non quantifiables, le contrecoup des violations sur ces organisations persiste longtemps après qu'elles se soient produites, puisque près de 50 % des coûts liés aux violations apparaissent plus d'un an après la violation.
Payer n’est pas… payant
L’étude conforte la position des états, des agences de cybersécurité et des associations de professionnels de la cybersécurité qui conseillent de ne surtout pas payer. Selon cette dernière, les victimes de rançongiciels qui ont choisi de payer la rançon demandée par les cyber criminels ont vu le coût moyen de la violation diminuer de seulement 610 000 $ par rapport à celles qui ont choisi de ne pas payer. Des chiffres qui ne comptabilisent pas le coût de la rançon. « Si l'on tient compte du coût élevé du paiement de la rançon, le bilan financier peut être encore plus lourd, ce qui suggère que le simple paiement de la rançon n'est peut-être pas une stratégie efficace », estime le rapport. Elle d’autant moins que rien ne garantit la récupération des données prises en otage.
Si l'on tient compte du paiement moyen de la rançon, qui, selon Sophos, a atteint 812 000 $ en 2021, les entreprises qui choisissent de payer la rançon pourraient enregistrer des coûts totaux plus élevés, tout en finançant indirectement de futures attaques par rançongiciels avec des capitaux qui pourraient être alloués aux efforts de remédiation et de récupération, ceci sans parler du fait qu’en payant la rançon, elles risquent d’enfreindre la réglementations de leurs pays respectifs.
De plus, les préoccupations concernant le ciblage des infrastructures critiques semblent s'être accrues au niveau mondial au cours de l'année écoulée, les agences de cybersécurité de nombreux gouvernements appellent à la vigilance face aux attaques perturbatrices. En effet, le rapport d'IBM révèle que les rançongiciels et les attaques destructives ont représenté 28 % des violations parmi les organisations étudiées ayant des infrastructures critiques, ce qui montre comment les acteurs de la menace cherchent à briser les chaînes d'approvisionnement mondiales qui dépendent de ces organisations. Il s'agit notamment des services financiers, des entreprises industrielles, de transports et de soins de santé.