IBM vient de dévoiler une étude en matière de cybersécurité. Elle a le mérite d’évaluer le coût total « méga-violations », soit 350 millions de dollars. Conduite par l’entité Sécurité d’IBM elle montre quel est l’impact financier complet d’une violation de données sur les résultats financiers d’une entreprise. Au total, elle a révélé que les coûts cachés associés aux violations de données : pertes de chiffre d’affaires (CA), impact négatif sur la réputation et temps passé par les employés sur la récupération des données) sont difficiles et coûteux à gérer. Ainsi, le tiers du coût des « méga-violations » (plus d’un million d’enregistrements perdus) provenait des pertes en CA.

Réalisée par Ponemon Institute, l’étude 2018 sur le coût d’une violation de données a révélé que le coût moyen d’une violation de données est globalement de 3,86 millions de dollars, soit une augmentation de 6,4 % par rapport au rapport de 2017. Basée sur des entretiens approfondis avec près de 500 entreprises ayant subi une violation de données, l’étude analyse des centaines de facteurs de coûts liés à une violation, des investigations techniques et la récupération, aux notifications, aux activités légales et réglementaires et au coût lié à la perte de CA et de réputation.

Cette année, pour la première fois, l’étude a également calculé les coûts associés aux “méga-violations” allant de 1 à 50 millions d’enregistrements perdus, projetant que ces violations coûtent respectivement aux entreprises entre 40 et 350 millions de dollars.

« Bien que les violations de données hautement médiatisées signalent souvent des pertes de plusieurs millions, ces chiffres sont très variables et souvent concentrés sur quelques coûts spécifiques qui sont facilement quantifiés », a déclaré Wendi Whitmore, responsable mondiale d’IBM X-Force Incident Response and Intelligence Services (IRIS). « La vérité est qu’il existe de nombreuses dépenses cachées qui doivent être prises en compte, telles que les préjudices de réputation, la rotation de la clientèle, et les coûts opérationnels. Savoir où se situent les coûts et comment les réduire peut aider les entreprises à investir leurs ressources de façon plus stratégique et à réduire les énormes risques financiers en jeu. »

Chiffres masqués – Calcul du coût d’une méga-violation

Au cours des cinq dernières années, le nombre de méga-violations (violations de plus d’un million d’enregistrements) a presque doublé – passant de 9 méga-violations en 2013 à 16 méga-violations en 2017. En raison de la faible quantité de méga-violations dans le passé, l’étude du coût d’une violation de données analysait historiquement les violations de données d’environ 2 500 à 100 000 enregistrements perdus.

Basé sur l’analyse de 11 entreprises ayant subi une méga-violation au cours des deux dernières années, le rapport de cette année utilise la modélisation statistique pour prévoir le coût des violations allant de 1 à 50 millions d’enregistrements compromis. En voici les principales conclusions : le coût moyen d’une violation de données d’1 million d’enregistrements compromis est de près de 40 millions de dollars ; à 50 millions d’enregistrements, le coût total estimé d’une violation est de 350 millions de dollars ; la grande majorité de ces violations (10 sur 11) sont le résultat d’attaques malveillantes et criminelles (par opposition à des défaillances du système ou à des erreurs humaines). Le délai moyen pour détecter et contenir une méga-violation était de 365 jours – presque 100 jours de plus que pour une violation à plus petite échelle (266 jours).

Pour les méga-violations, la catégorie de dépenses la plus importante était les coûts associés à la perte de CA, estimée à près de 118 millions de dollars pour des violations de 50 millions d’enregistrements – presque un tiers du coût total d’une violation de cette taille. IBM a analysé les coûts publiquement déclarés de plusieurs cas importants de méga-violations et a trouvé que les chiffres signalés sont souvent inférieurs au coût moyen trouvé dans l’étude. Cela est probablement dû au fait que les coûts déclarés publiquement se limitent souvent aux coûts directs, tels que la technologie et les services nécessaires pour se remettre de la violation, les frais légaux et réglementaires, et les dédommagements aux clients.

Au cours des 13 dernières années, le Ponemon Institute a examiné le coût associé aux violations de données de moins de 100 000 enregistrements, constatant que les coûts ont régulièrement augmenté au cours de l’étude. Le coût moyen d’une violation de données était de 3,86 millions de dollars dans l’étude de 2018, comparativement à 3,50 millions de dollars en 2014, ce qui représente une augmentation nette de près de 10% au cours des cinq dernières années de l’étude.

L’enquête examine également les facteurs qui augmentent ou diminuent le coût de la violation, montrant que les coûts sont fortement impactés par le temps passé à contenir une violation de données, ainsi que par les investissements dans les technologies qui accélèrent le temps de réponse.

Encadré : un aperçu des réalités françaises :

 

  • Neuf années de données historiques ont été mise à contribution
  • 31entreprises françaises ont participé à l’étude cette année
  • Le coût total moyen d’une violation de données est de 3,54 millions d’euros, soit une augmentation de 8,2%par rapport à l’année précédente.
  • Le coût par habitant estde 140 euros par enregistrement perdu ou volé, soit une augmentation de 2,9% par rapport à l’année précédente
  • Les attaques malveillantes ou criminelles sont à l’origine de 55%des violations de données
  • Le temps moyen pour identifier la violation de données est passé de 214 à 210 jours
  • Le délai moyen pour contenir la violation de données est passé de 78 à 75 jours

 

 

Emmanuel Mayega
A propos de l'auteur

Directeur de la rédaction et de la publication du magazine Assurance & Banque 2.0 et de ce site, Emmanuel a une connaissance accrue de l’intégration des technologies dans l’assurance, la banque et la santé. Ancien rédacteur en chef de ce magazine, il a pendant plus d'une décennie été rédacteur en chef adjoint d’Assurance & Informatique Magazine. ll est un observateur affûté du secteur. Critique, il se définit comme esprit indépendant et provocateur, s’il le faut.

Site web : http://www.assurbanque20.fr

Twitter LinkedIn Google+

Newsletter

Vous n'avez pas le temps suivre l'actualité ? Découvrez nos newsletters gratuites, quotidiennes ou hebdomadaires.

Inscription Newsletter


Le Mensuel

Chaque mois, un regard éclairé et sans concession sur l'actualité de l'Assurance, de la Banque et des Services Financiers.

Découvrir le magazine