Le coût moyen d’une violation de données s’établit en France à 3,95 millions d’euros, contre 3,84 millions d’euros l’an passé, relève le dernier rapport d’IBM sur ce sujet, une étude annuelle dénommée « Cost of a Data Breach« . Ce chiffre en légère hausse, mais relativement stable, situe l’Hexagone dans la moyenne des 17 pays inclus dans cette étude.
Avec un montant moyen de 4,35 millions de dollars par incident (4,28 millions d’euros), ce coût a toutefois atteint un nouveau record, avec une augmentation de 12,7 % au cours des deux dernières années. Les sociétés américaines ont enregistré le coût moyen le plus élevé. Il a augmenté de 4,3 % pour atteindre 9,44 millions de dollars. Pour les entreprises du Moyen-Orient, ce coût moyen a atteint 7,46 millions de dollars, contre 6,93 millions de dollars en 2021. Le Canada, le Royaume-Uni et l’Allemagne complètent le peloton de tête, avec des pertes moyennes de 5,64 millions, 5,05 millions et 4,85 millions de dollars.
Réalisée par le Ponemon Institute pour Big Blue, l’étude est basée sur l’analyse des violations de données ayant affecté 550 organisations entre mars 2021 et mars 2022. Pour 17 % des structures visées, il s’agissait d’une première, le solde restant (87 %) ayant déjà été victime de faits similaires. 60 % des entreprises ont déclaré avoir augmenté le prix de leurs produits et services en raison des pertes subies.
207 jours pour identifier la fuite
En moyenne, les entreprises visées ont mis 207 jours pour identifier la violation de données. Il leur a fallu ensuite 70 jours pour la contenir. Soit une baisse globale de quelques jours par rapport aux résultats de l’an passé (212 jours pour identifier la violation et 75 jours pour la contenir). Les erreurs humaines, soit les actions négligentes d’employés ou de prestataires externes, ont été à l’origine de 21 % des incidents. Une part un peu moins élevée (19 %) résulte d’attaques informatiques de fournisseurs. Le coût moyen de ces violations est légèrement supérieur (4,46 millions de dollars). Et surtout, elles représentent des crises plus longues de 26 jours, ce qui montre qu’elles sont plus dures à identifier et à contenir.
Quelque 11 % des violations ont enfin été causées par des attaques par rançongiciel. Un mode opératoire en forte hausse, de 41 %, qui ne représentait qu’environ 8 % des piratages informatiques l’an passé. Toutefois, le coût moyen de ces attaques a légèrement diminué, passant de 4,62 millions de dollars en 2021 à 4,54 millions de dollars. Les vecteurs d’attaques les plus courants sont le vol ou la compromission d’informations d’identification, suivis par le hameçonnage.
Le secteur de la santé déplore les pertes les plus élevées
Si l’on regarde le coût moyen selon l’activité des entreprises victimes, on observe que les firmes de la santé ont enregistré un coût moyen record de 10,1 millions de dollars par violation de données. Soit une augmentation de près d’un million de dollars par rapport à 2021.
Pour les entreprises du secteur, ce coût a augmenté de 41,6 % depuis 2020. Il s’établit également à 5,97 millions de dollars par violation de données pour les entreprises de services financiers.
Globalement, les entreprises travaillant sur des infrastructures critiques ont déploré un coût moyen de 4,82 millions de dollars. Soit 1 million de dollars de plus que le coût moyen constaté par les entreprises des autres secteurs. 28 % des entreprises exploitant des infrastructures critiques ont subi une attaque destructive ou par rançongiciel et 17 % ont dû faire avec le piratage d’un fournisseur.
Impact des stratégies de sécurité
L’étude d’IBM a en outre tenté de mesurer l’impact des stratégies de sécurité. Ainsi, 80 % des entreprises d’infrastructures critiques qui n’ont pas adopté le Zero Trust, ce modèle de sécurité de l’information qui refuse par défaut l’accès aux applications et aux données, ont dépensé en moyenne 1,17 million de dollars de plus pour contenir les fuites de données.
De même, les entreprises qui ont déployé des outils d’intelligence artificielle et d’automatisation de la sécurité ont vu leurs coûts liés à une violation de données diminuer de 3,05 millions de dollars. A 4,99 millions de dollars par incident, les violations de données liées au travail à distance coûtent par contre près d’un million de dollars de plus en moyenne.
L’étude signale que 62 % des entreprises qui ont déclaré ne pas disposer d’un personnel suffisant en matière de cybersécurité ont enregistré des coûts supérieurs de 550 000 dollars. Enfin, la facture pour les entreprises victimes d’un rançongiciel est moins élevée, de 630 000 dollars, que pour celles qui ont choisi de payer la rançon. Mais cette addition est trompeuse. Elle ne prend en effet pas en compte le montant extorqué à la victime.
Source : ZDNet.com
