Ils ne cessent d’augmenter au fil du temps. Les coûts liés à la violation des données atteignent désormais 4 millions de dollars par incident.

L’étude sur le coût annuel de la violation de données examine à la fois les charges directes et indirectes pour les entreprises qui font face à une seule violation de données. Grâce à des entretiens conduits auprès de 400 entreprises à travers le monde, l’étude présente les coûts associés aux activités de réponse aux violations, ainsi que les dommages sur la réputation et le coût des pertes commerciales.

Elle a été conduite par la division sécurité d’IBM et réalisée par l’Institut Ponemon. Elle révèle notamment que le coût moyen d’une violation de données pour les entreprises interrogées a augmenté de 29 % depuis 2013. En fait, les incidents relatifs à la cyber-sécurité continuent à croître en volume et en sophistication. Ainsi, 64 % de dysfonctionnement en matière de sécurité supplémentaires ont été signalés en 2015 par rapport à 2014. Des menaces qui deviennent plus complexes, entraînant des charges toujours plus élevées pour les entreprises. Selon l’étude, les entreprises perdent 158 dollars par donnée compromise. Les violations en la matière dans les industries fortement réglementées étaient encore plus coûteuses, la santé atteignant 355 dollars par donnée – soit 100 dollars de plus qu’en 2013.

Autre enseignement, « s’appuyer sur une équipe de réponse aux incidents était de loin le facteur le plus important pour réduire les coûts d’une violation de données permettant ainsi aux entreprises d’économiser près de 400 000 dollars en moyenne, soit 16 dollars par donnée. En fait, les activités de réponse aux incidents telles que la recherche de la cause, la communication, les dépenses juridiques et de remise en conformité représentent 59 % du coût d’une violation de données. Ces coûts élevés sont en partie liés au fait que 70 % des responsables de la sécurité américains signalent qu’ils ne disposent pas de stratégie de réponse aux incidents », indique l’étude.

Quid du processus de réponse à une violation ? Il est extrêmement complexe et prend beaucoup de temps s’il n’est pas correctement planifié. Parmi les activités requises, une entreprise doit travailler avec le service informatique ou des experts en sécurité externes, afin d’identifier rapidement la source de la violation et arrêter la fuite de données ; divulguer la violation aux entités gouvernementales/règlementaires adéquates, en respectant des délais spécifiques pour éviter les amendes potentielles ; communiquer sur la fuite de données aux clients, partenaires et actionnaires ; mettre en place toute assistance téléphonique et services de surveillance nécessaires pour les clients touchés.

Selon l’enquête, « chacune de ces étapes nécessite un temps d’engagement considérable de la part des membres du personnel, les éloignant de leurs responsabilités habituelles et gaspillant de précieuses ressources humaines pour l’entreprise. »

L’étude révèle également que « plus cela prend du temps de détecter et contenir une violation de données, plus sa résolution est coûteuse. Alors que les violations qui ont été identifiées en moins de 100 jours coûtent aux entreprises une moyenne 3,23 millions de dollars, les violations détectées après 100 jours coûtent 1 million de dollars de plus en moyenne (4,38 millions de dollars). »

Le temps moyen pour identifier une faille est estimé à 201 jours, et le délai moyen pour contenir une violation de donnée est estimé à 70 jours.

« Au cours des nombreuses années passées à étudier la violation de données de plus de 2000 entreprises de tous secteurs, nous voyons qu’elles ont maintenant un coût commercial, ce qui est conforme à l’ère de la cybercriminalité actuelle », déclare le Dr Larry Ponemon. « C’est un coût permanent que les entreprises doivent être prêtes à traiter et à intégrer dans leurs stratégies de protection des données. »

Emmanuel Mayega
A propos de l'auteur

Rédacteur en chef du magazine Assurance & Banque 2.0, Emmanuel a une connaissance accrue de l’intégration des technologies dans l’assurance, la banque et la santé. Ancien rédacteur en chef adjoint d’Assurance & Informatique Magazine, il est un observateur affûté du secteur. Critique, il se définit comme esprit indépendant et provocateur, s’il le faut.

Site web : http://www.assurbanque20.fr

Twitter LinkedIn Google+

Newsletter

Vous n'avez pas le temps suivre l'actualité ? Découvrez nos newsletters gratuites, quotidiennes ou hebdomadaires.

Inscription Newsletter


Le Mensuel

Chaque mois, un regard éclairé et sans concession sur l'actualité de l'Assurance, de la Banque et des Services Financiers.

Découvrir le magazine