Fuite de données : un coût moyen de 4 M$ par incident

La France n’échappe pas à l’augmentation du coût moyen d’une violation de données constatée par l’étude 2016 du Ponemon Institute pour la division sécurité d’IBM.

Le coût total moyen d’une violation de données atteint désormais 4 millions de dollars (dépenses directes et indirectes engagées) par incident pour les entreprises interrogées, contre 3,79 millions de dollars l’an dernier. Et l’augmentation est de 29 % depuis 2013. C’est le constat de l’étude commandée par IBM au Ponemon Institute (2016 Cost of Data Breach Study). Elle a été réalisée auprès de 383 entreprises dans 12 pays (États-Unis, Canada, Brésil, Allemagne, France, Italie, Royaume-Uni, Inde, Japon, région du Golfe – Émirats arabes unis et Arabie saoudite -, Afrique du Sud et Australie).

En France, où 30 entreprises ont participé à l’enquête, ce coût est inférieur, mais il atteint tout de même 3,4 millions d’euros par incident (soit 3,8 millions de dollars) cette année, contre 3,12 millions d’euros en 2015. Les violations de données coûtent le plus cher aux sociétés installées aux États-Unis (7 millions de dollars) et en Allemagne (5 millions de dollars). Elles coûtent le moins cher aux entreprises basées en Inde (1,6 million de dollars) et en Afrique du Sud (1,8 million de dollars).

La santé paie le plus lourd tribut

Chaque perte ou vol d’un fichier contenant des données sensibles coûte désormais 158 dollars en moyenne (141 euros en France) à l’entreprise concernée, contre 154 dollars l’an dernier (134 euros en France). Ce chiffre atteint même 355 dollars dans le secteur de la santé cette année…

Tous secteurs confondus, près de la moitié des violations de données sont liées à des attaques malveillantes ou criminelles perpétrées par des hackers ou des initiés, selon l’étude. Les incidents techniques, l’erreur humaine ou la négligence arrivent ensuite.

Chiffrement et réponse aux incidents

Le temps moyen pour identifier une faille est estimé à 201 jours et le délai moyen pour contenir une violation de données à 70 jours. Or plus l’incident est traité tardivement, plus sa résolution est coûteuse. Il est possible néanmoins de limiter les frais, à la condition d’investir en amont.

« Une équipe de réponse aux incidents, l’utilisation étendue du chiffrement, la formation des employés, la prévention des menaces et la gestion de la continuité d’activité permettent de diminuer le coût d’une violation de données », selon IBM. Ainsi une équipe de réponse aux incidents permettrait aux entreprises d’économiser près de 400 000 dollars en moyenne (ou 16 dollars par fichier exposé).

LuxLeaks : une fuite de données facilitée par… Microsoft

Lire aussi : Informatique quantique : IBM et Ikerbasque font alliance