Le coût moyen d'une violation de données, perte ou vol, qu'il soit global ou à la donnée, ne cesse d'augmenter. Il atteint le coût moyen consolidé de 3,8 millions de dollars, ou encore de 154 dollars la donnée.
L'étude annuelle de l'Institut Ponemon pour IBM sur le coût des violations de données vient d'être dévoilé. Nous pouvons la résumer simplement : la situation ne cesse d'empirer ! En l'espace de 2 ans, le coût moyen global consolidé, qui intègre la violation, son traitement er l'acquisition de client, a augmenté de 23 %, pour atteindre 3,8 millions de dollars.
Un coût variable à la donnée
A la donnée perdue ou volée, le coût nominal d'une violation d'une donnée sensible, voire confidentielle, a également augmenté de 6 %, ce qui porte le coût moyen 'unitaire' à 154 dollars. Evidemment ce coût varie d'une violation à l'autre, avec cependant des tendances par industrie et par région. Par exemple, le coût moyen d'une violation à la donnée est de 165 dollars dans le commerce, et il atteint 363 dollars dans la santé. Il varie également d'un pays à l'autre. Il est en moyenne nettement supérieur aux Etats-Unis (217 dollars) et en Allemagne (211 dollars). Ce sont principalement les coûts associés à la perte d'activité et à la nécessaire acquisition de clientèle qui augmentent, tandis que les coûts de notification tendent à se réduire.
Par ailleurs, Ponemon a évalué la probabilité d'une cyber-attaque avec violation de données dans les 24 prochains mois… Elle est la plus forte sur les fichiers de plus de 10.000 enregistrements et sur les entreprises françaises !
Les causes de croissance du coût
Larry Ponemon, le fondateur et président de l'Institut qui porte son nom, a identifié trois causes principales qui expliquent la progression du coût des violations de données :
- L'augmentation de la fréquence des cyber-attaques
- L'augmentation de l'impact financier des violations de données
- L'augmentation des dépenses dans la recherche, l'investigation, l'analyse, et la gestion de crise
Des attaques de plus en plus sophistiquées, des défenses également de plus en plus sophistiquées, tout milite pour une augmentation tant des violations de données que des dépenses de sécurité et des coûts des pertes et vols.
Réduire le coût des violations de données
L'étude annuelle réalisée par Ponemon a permis également de constater que les délais d'identification et de d'intervention en cas de violation de données varient selon la rapidité de la réaction de l'entreprise. Plus ce délai est long – en moyenne de 158 jours en cas d'erreur humaine à 256 jours en cas de cyber-attaque – et plus son coût est élevé.
Les cyber-attaques sont à l'origine d'environ 1 violation de données sur 2 (45%). Le reste est partagé entre les problèmes liés au SI et les erreurs ou négligences humaines. L'origine de la faille a ainsi un impact sur le coût, 170 dollars par donnée en cas d'attaque malveillante, 142 dollars en cas de défaillance du SI, 137 dollars en cas d'erreur humaine.
Enfin, le renforcement de la gouvernance, l'implication du Conseil d'administration et l'acquisition d'une police d'assurance vont également influer sur la réduction des coûts des violations de données. Un PCA (plan de continuité d'activité) va réduire les effets de la violation, et induire une réduction unitaire de 7,10 dollars. L'implication du conseil d'administration de 5,50 dollars. Une police d'assurance de 4,40 dollars.
Image d'entête iStock @ jack191