Les brèches de données sont plus fréquentes qu’on ne le croit.
Et leur coût peut s’avérer très élevé si l'incident a exposé des données personnelles ou s'il est le résultat d'une cyber attaque
Le coût moyen d’une brèche de données a diminué de 1,5 % d’une année sur l’autre, coûtant aux entreprises 3,86 millions de dollars par incident, selon le rapport 2020 Cost of a Data Breach Report d’IBM. L’étude annuelle a analysé les données de 524 entreprises qui, bien qu’étant basées dans 17 pays et régions et opérant dans 17 secteurs d’activité, ont un point en commun : chacune d’entre elles a subi une brèche de la sécurité au cours de l’année écoulée.
Pour la première fois cette année, l’étude, menée par IBM Security et le Ponemon Institute, a ventilé les coûts par type d’enregistrements compromis, qui comprennent les informations personnelles identifiables -IPI- des clients, les IPI des employés et la propriété intellectuelle -PI-.
L’analyse a révélé que les données des clients étaient de loin le type d’enregistrement le plus communément compromis, 80 % des organisations ayant fait l’objet d’une brèche ayant déclaré que les IPI des clients étaient affectées. "Alors que le coût moyen par enregistrement perdu ou volé était de 146 dollars pour l’ensemble des brèches de données, celles contenant des IPI de clients coûtaient aux entreprises 150 dollars par enregistrement compromis", indique le rapport.
Cependant, les retombées financières ont également varié en fonction d’une série d’autres facteurs. Par exemple, si la brèche a été causée par une attaque malveillante, le coût est passé à 175 $ US. En revanche, si l’incident a eu un impact sur les données anonymes des clients, le coût moyen était de 143 dollars, mais passait à 171 dollars s’il résultait d’une attaque malveillante.
Les attaques malveillantes étaient à l’origine de la plupart des brèches 52 %, les failles du système 25 % et les erreurs humaines 23 % arrivant en deuxième et troisième position, respectivement. "Outre les informations d’identification volées ou compromises, les serveurs mal configurés sur le cloud forment les vecteurs de menace initiale les plus fréquents dans les brèches causées par des attaques malveillantes, avec 19 %", précise IBM.
La perte d’activité reste l’un des effets les plus coûteux d’une brèche de données, représentant près de 40 % du coût et le coût passant de 1,42 million de dollars l’année dernière à 1,52 million de dollars. Ce chiffre tient compte de l’augmentation du chiffre d’affaires des clients, de la perte de revenus et du coût plus élevé de l’acquisition de nouvelles affaires en raison d’une réputation ternie.
La durée de vie moyenne d’une brèche de données était de 280 jours, dont 207 jours pour identifier la brèche et 73 jours supplémentaires pour la contenir. Ces chiffres sont restés largement inchangés par rapport à l’année précédente.
Par ailleurs, il existe une disparité entre les secteurs d’activité en ce qui concerne la durée du cycle de vie, également appelée "temps d’arrêt" ou dwell time. Le secteur des soins de santé a le cycle de vie le plus long avec 329 jours, tandis que le secteur financier n’a un cycle que de 233 jours. Sur les 17 secteurs étudiés, les soins de santé représentent également le coût moyen le plus élevé avec 7,13 millions de dollars par incident, ce qui leur permet de conserver leur position de leader pour la dixième année consécutive.
Il convient de mentionner que les entreprises qui ont testé un plan de préparation à la réponse aux incidents -RI- ou qui emploient une équipe de RI ont pu économiser en moyenne 2 millions de dollars par rapport aux entreprises qui n’ont ni l’un ni l’autre.
Les États-Unis restent en tête de peloton en matière de coûts liés aux brèches de données, avec un coût moyen de 8,64 millions de dollars par incident, suivis de près par le Moyen-Orient, avec un coût de 6,52 millions de dollars par brèche. Et si la plupart des brèches malveillantes sont le fait de cybercriminels à motivation financière 53 %, les brèches présumées comme étant soutenues par des gouvernements 13 % sont considérées comme les plus coûteuses, avec un coût moyen de 4,43 millions de dollars
Amer Owaida - Security Writer - ESET
Le 5 octobre 2020
