Il n'y a pas que l'inflation qui a progressé, le coût moyen mondial d'une violation de données aussi. Selon le Cost of a Data Breach Report 2024 d'IBM, il a même atteint un niveau record de 4,88 M$, en augmentation de 9 % par rapport à 2023, signant la plus forte progression depuis la pandémie. Cette 19e étude de big blue (réalisée par Ponemon Institute) analyse les violations de données réelles subies par 604 entreprises dans le monde entre mars 2023 et février 2024. Elle a identifié les principaux problèmes qui ont eu un impact direct sur l'augmentation des coûts des violations, notamment la croissance des ressources hautement distribuées sur site, dans les cloud privés et publics, ainsi que la pénurie de personnel de sécurité. IBM a constaté que les coûts liés à la perte d'activité et à la réaction après une violation ont augmenté de manière significative ; ces coûts, pris ensemble, ont représenté 2,8 M$ sur les 4,88 M$ que coûte en moyenne une violation.
La France, terre de violation de données...
Des extraits de données ont par ailleurs été communiqués par IBM pour la France avec 36 entreprises interrogées pour l'occasion. On y apprend que le coût moyen d'une violation de données dans l'Hexagone a atteint 3,85 M€, en progression de "seulement" 3 % sur un an. Les secteurs qui ont connu les coûts moyens de violation de données les plus élevés sont les suivants : industrie pharmaceutique (5,19 M€), services financiers (4,79 M€), technologies (4,73 M€). Le coût moyen et la fréquence des violations de données par vecteur d'attaque initial sont les suivants : informations d'identification volées ou compromises (14 % des incidents ; coût moyen de 3,35 M€), mauvaise configuration cloud (14 % des incidents ; coût moyen de 3,57 M€), vulnérabilité inconnue aka zero day (12 % des incidents ; coût moyen de 3,97 M€), phishing (11 % des incidents ; coût moyen de 3,86 M€), et compromission de sécurité (9 % des incidents ; coût moyen de 4,23 M€). En France, il faut par ailleurs en moyenne 218 jours pour identifier une violation et 76 jours pour la contenir, soit une augmentation respectivement de 8 et 4 jours par rapport à 2023.
"70 % des entreprises françaises étudiées déploient désormais l'IA et l'automatisation de la sécurité pour prévenir et combattre les violations. Une société qui a eu largement recours à l'IA et à l'automatisation de la sécurité a détecté et contenu un incident 97 jours plus rapidement et a encouru en moyenne 1,83 million d’€ de moins en coûts de violation, par rapport aux organisations qui n'utilisent pas ces technologies - la plus grande économie de coûts révélée dans le rapport 2024", indique IBM. Enfin, on retiendra (toujours en France) que 33 % des violations de données étudiées concernaient des données stockées dans plusieurs environnements (clouds publics et privés, on premise) pour un coût moyen de 4,22 M€.
... au coût moyen moins élevé qu'ailleurs
Pour la 14e année, les États-Unis ont cependant enregistré le coût moyen d'une violation de données le plus élevé (9,36 M$) parmi les 16 pays et régions étudiés. Le Moyen-Orient, l'Allemagne, l'Italie et le Benelux complètent le top 5. Les chercheurs précisent que le Canada et le Japon ont vu leurs coûts moyens baisser, tandis que l'Italie et le Moyen-Orient ont connu des augmentations significatives. « Ces violations multi-environnements ont coûté plus de 5 M$ en moyenne et ont été les plus longues à identifier et à contenir (283 jours), soulignant le défi que représentent le suivi et la sauvegarde des données, y compris celles circulant sous le radar (shadow data) et dans les charges de travail d'IA, qui peuvent être non chiffrées », a écrit John Zorabedian, responsable de la stratégie des contenus sécurité d'IBM, dans un billet blog relatif aux résultats de l'étude. « Les types d'enregistrements de données volés dans ces brèches ont souligné l'importance croissante de la protection des données les plus sensibles d'une organisation, y compris les données d'identification personnelle des clients (PII), les informations d'identification des employés et la propriété intellectuelle (IP). Les coûts associés aux données d'identification personnelle des clients et des employés étaient en moyenne les plus élevés », a fait savoir John Zorabedian. Les PII des clients ont été impliquées dans un plus grand nombre de violations que tout autre type d'enregistrement (46 % des violations). Les IP pourraient devenir encore plus accessibles au fur et à mesure que les initiatives de GenAI font apparaître ces données au grand jour. Les données critiques devenant plus dynamiques et disponibles dans tous les environnements, les entreprises devront alors être amenées à évaluer les risques spécifiques de chaque type de données et leurs contrôles de sécurité et d'accès applicables selon John Zorabedian.
Coût et fréquence des brèches de données par vecteur d'attaque initial. (crédit : IBM)
Une étude récente de Cisco a confirmé les résultats d'IBM et a révélé que 92 % des entreprises avaient déployé au moins deux fournisseurs de cloud public pour héberger leurs workloads et que 34 % en utilisaient plus de quatre, selon un rapport de 2023. « Cependant, chaque fournisseur de services de cloud public, datacenter privé et environnement cloud hybride utilise des modèles opérationnels de réseau et de sécurité différents. Les sociétés doivent aborder la complexité de gestion qui en résulte avec une stratégie qui permet une meilleure visibilité et un contrôle plus cohérent de la connectivité et de la sécurité à travers des environnements de cloud privé et public disparates », selon Cisco. D'ici deux ans, 60 % des entreprises s'attendent à disposer d'une plateforme intégrée de gestion de réseau et de sécurité multicloud avec des API communes pour sécurser le déplacement des charges de travail, la visibilité du réseau et des applications, et la gestion des politiques, a déclaré Cisco.
Des pénuries de ressources SSI qui pèsent
Quant aux pénuries de personnel, le problème ne cesse de s'aggraver, indique John Zorabedian : « 53 % des entreprises sont confrontées à une pénurie de compétences de haut niveau, soit 26 % de plus qu'en 2023. La pénurie de compétences à l'échelle du secteur pourrait coûter cher aux entreprises. Celles qui souffrent d'une grave pénurie de personnel ont subi des coûts de violation supérieurs d'1,76 M$ en moyenne par rapport à celles qui n'ont pas ou peu de problèmes de dotation en personnel de sécurité. » Dans le même temps, ces pénuries pourraient s'atténuer, car les entreprises ont indiqué qu'elles avaient l'intention d'augmenter leurs investissements en matière de sécurité à la suite de la violation. Selon le rapport, les firmes prévoient d'investir notamment dans des outils de détection et de réponse aux menaces tels que SIEM, SOAR et EDR. Elles prévoient en outre d'augmenter leurs investissements en gestion des identités et des accès et protection des données.
La pénurie de personnel pourrait toutefois inciter les grands organismes à se tourner vers l'IA et l'automatisation de la sécurité pour les aider et réduire les coûts des violations, poursuit John Zorabedian. « Davantage d'entreprises adoptent l'IA et l'automatisation dans leurs opérations de sécurité, en hausse de 10% par rapport au rapport 2023. Et le plus prometteur, c'est que l'utilisation de l'IA dans les workloads de prévention a eu l'impact le plus élevé dans l'étude, réduisant le coût moyen d'une violation de 2,2 M$, par rapport aux entreprises qui n'ont pas déployé l'IA dans la prévention [...] Deux entreprises sur trois dans l'étude ont déployé des technologies d'IA et d'automatisation dans l'ensemble de leur centre de sécurité opérationnelle », fait savoir John Zorabedian. « Ce facteur peut également avoir contribué à la diminution globale des temps de réponse moyens - ceux qui utilisent l'IA et l'automatisation ont vu leur temps d'identification et de confinement d'une violation réduit de près de 100 jours en moyenne. » Seules 20 % des organisations ont déclaré utiliser des outils de sécurité GenAI, mais celles qui l'ont fait ont constaté un impact positif. Selon John Zorabedian, ces derniers ont permis de réduire le coût moyen d'une violation de plus de 167 000 $.
D'autres indicateurs pertinents à considérer
- Les informations d'identification volées sont en tête des vecteurs d'attaque initiale : le vol ou la compromission d'informations d'identification est le vecteur d'attaque initial le plus courant (16 %). C'est également dans ce cas qu'il a fallu le plus de temps pour identifier et contenir la faille, soit près de 10 mois ;
- De tous les vecteurs d'attaque, c'est celui dont les informations d'identification ont été volées ou compromises qui a été le plus long à identifier et à contenir (292 jours). Les attaques similaires qui consistaient à tirer profit des employés et de leur accès ont également pris beaucoup de temps à résoudre. Par exemple, les attaques par hameçonnage ont duré en moyenne 261 jours, tandis que celles par ingénierie sociale ont nécessité en moyenne 257 jours ;
- Par rapport aux autres vecteurs, les attaques malveillantes internes ont engendré les coûts les plus élevés, avec une moyenne de 4,99 M$. Parmi les autres axes d'attaque coûteux figurent la compromission de la messagerie électronique, le phishing, l'ingénierie sociale et le vol ou exposition d'informations d'identification ;
- Deux tiers des entreprises victimes d'attaques par ransomware et qui ont fait appel aux forces de l'ordre n'ont pas payé la rançon. Ces entreprises ont également réduit le coût de l'attaque de près d'1 M$ en moyenne, si l'on exclut le coût de toute rançon payée. L'intervention des forces de l'ordre a également permis de réduire le temps nécessaire à l'identification et à la remédiation des violations, qui est passé de 297 à 281 jours ;
- Les coûts les plus élevés ont été enregistrés par les entreprises d'infrastructures critiques. Les secteurs de la santé, des services financiers, de l'industrie, de la technologie et de l'énergie sont ceux qui ont enregistré les coûts les plus élevés. Pour la 14e année consécutive, les participants du secteur de la santé ont subi les violations les plus coûteuses, atteignant en moyenne 9,77 M$.
Commentaire