Violation de données : un coût annuel de 3,86 M$ par entreprise

IBM Security a publié l’étude 2018 sur le coût d’une violation de données commandée au Ponemon Institute. L’enquête a été menée auprès de 2200 professionnels IT, Data et Conformité dans 15 pays et 477 entreprises (dont 31 en France). Elles ont toutes été la cible d’une violation de données ces 12 derniers mois.

Premier constat : après une année de repli en valeur, la facture augmente. Ainsi, le coût moyen mondial d’une violation de données atteint désormais 3,86 millions de dollars par entreprise (+6,4% en un an). En France, il atteint même 4,27 millions de dollars (+8,2%). Et l’addition est bien plus salée encore aux États-Unis (7,91 M$).

Notons que les coûts de détection, investigation, gestion et réponse à incident sont inclus. Les coûts « cachés » (atteinte à la réputation, départ de clients, perte de revenus, coûts opérationnels….) le sont aussi.

En moyenne, 24 615 enregistrements de données (records) sont compromis lors d’une violation (25 336 en France). Et le coût moyen par enregistrement perdu ou volé dépasse désormais les 148 dollars (+4,8%) dans le monde (169 dollars en France.)

Ces violations sont le plus souvent liées à des attaques malveillantes ou criminelles (48% globalement, 55% en France). Les erreurs humaines interviennent dans 27% des cas (19% en France) et les défaillances systèmes dans 25% des cas (26% en France).

Réduire les délais et les coûts

Le délai moyen pour identifier une violation de données atteint 197 jours (210 jours en France). Auxquels s’ajoutent 69 jours en moyenne (75 jours en France) pour la contenir une fois celle-ci identifiée.

Or, plus une violation de données est identifiée et maîtrisée rapidement, moins les coûts sont élevés. Ainsi, les entreprises qui ont contenu une violation en moins de 30 jours auraient économisé plus de 1 million de dollars par rapport à celles qui ont dépassé ce délai pour colmater la brèche.

D’autres facteurs permettent de réduire la note, selon l’étude, dont la mise en place d’une équipe dédiée à la réponse à incidents (réduction de 14$ par enregistrement compromis) et l’utilisation du chiffrement et de l’intelligence artificielle (réduction de 8$).

Malgré tout, 27,9% des répondants (35,1% en France) estiment réel le risque que leur organisation soit à nouveau la cible d’une violation de données dans les deux ans.

Partie émergée de l’iceberg

Parallèlement à ces chiffres, le Ponemon Institute a estimé le coût d’une méga-violation de données (au moins 1 million d’enregistrements perdus) à partir de l’analyse des cas de 11 entreprises. Elles ont été la cible de violations majeures ces deux dernières années.

Le coût moyen a ainsi été estimé à près de 40 millions de dollars pour une violation portant sur 1 million d’enregistrements compromis. Il peut atteindre 350 millions de dollars pour 50 millions d’enregistrements de données détournés.

« Bien que les violations de données hautement médiatisées signalent souvent des pertes de plusieurs millions, ces chiffres sont très variables et souvent concentrés sur quelques coûts spécifiques facilement quantifiés », a déclaré Wendi Whitmore, responsable mondiale d’IBM X-Force IRIS. « La vérité est qu’il existe de nombreuses dépenses cachées ». Et que ces violations d’ampleur ne sont que la partie émergée de l’iceberg. Un défi de plus à relever à l’heure du Règlement général sur la protection des données (RGPD).

(crédit photo © Shutterstock.com)