Selon une étude IBM Security/Ponemon Institute, le coût moyen d'une violation de données au niveau mondial s'élève à 3,86 millions de dollars. Pour les 33 entreprises françaises ayant participé à l'étude, la moyenne est même supérieure, atteignant 3,65 millions d'euros (soit 4,01 millions de dollars au moment de l'enquête). Toutefois, ce montant est en légère baisse (-5,2%) par rapport à 2019, où il atteignait 4,33 millions de dollars. Chez les répondants français, le temps moyen pour identifier ces violations de données a également décru, passant de 225 jours en 2019 à 205 en 2020.
Quand des informations d'identification figurent parmi les données exposées, les entreprises victimes subissent une double peine. Si l'accès à leur réseau se trouve exposé, le coût moyen de ces incidents augmente en effet de près d'un million de dollars. Le rapport révèle également que dans 80% des cas, ces incidents ont entraîné l'exposition d'informations personnelles identifiables de clients. Les méga-brèches (plus de 50 millions d'enregistrements compromis) s'avèrent les plus coûteuses, avec un coût moyen de 392 millions de dollars, en hausse par rapport à 2019 où il atteignait déjà 388 millions de dollars. Toujours selon l'enquête, près de 40% des incidents malveillants proviennent du vol d'identifiants, et d'erreurs de configuration sur des services Cloud : un constat qui plaide en faveur des approches de type zero-trust.
Investir sur les compétences en cyberdéfense réduit les coûts des incidents
Parmi les facteurs réduisant l'impact financier de telles attaques, l'usage de technologies d'automatisation de la sécurité (utilisant l'intelligence artificielle, l'analytique et l'orchestration) permet de diminuer de moitié le coût moyen des violations. Celui-ci passe en effet à 2,45 millions de dollars contre 6,03 millions de dollars en moyenne dans les organisations n'ayant pas mis en place ce type de solutions. Ces outils permettent également aux entreprises équipées de réagir aux brèches dans un délai plus court de 27% que les autres, qui ont besoin de 74 jours supplémentaires pour identifier et contenir ces incidents.
Selon le rapport, la nomination d'un RSSI permet aux entreprises d'économiser 145 000 dollars par rapport au coût moyen d'une brèche. Toutefois, si ceux-ci portent la responsabilité des violations pour 46% des répondants, ils ne décident de la politique de sécurité et des orientations technologiques que dans 27% des cas, ce qui complique d'autant leur tâche. La présence d'une équipe de réponse aux incidents (CERT - Computer Emergency Response Team et CSIRT - Computer Security Incident Response Team) joue également un grand rôle pour diminuer l'impact financier des violations de données, dès lors qu'elles disposent de plans de réponse régulièrement testés : le coût moyen des incidents est alors inférieur de 2 millions par rapport aux organisations n'ayant pas mis en place de tels dispositifs.
PublicitéEnfin, les cyberassurances ont-elles aussi un rôle à jouer, celles-ci permettant de diminuer les coûts des incidents près de 200 000 dollars en moyenne. Plus de la moitié (51%) des organisations ayant souscrit de tels contrats les utilisent pour couvrir les frais liés à l'intervention de tiers et les services juridiques, et 36% pour dédommager les victimes. Seuls 10% s'en servent en revanche pour couvrir le coût des rançons.