IBM a dévoilé cette semaine l’édition 2021 de son rapport annuel sur l’impact financier des violations de données, réalisé par Ponemon Institute. Avec un focus particulier sur la France, l’étude a recueilli des informations auprès de 34 entreprises françaises pour 537 entreprises au total sur douze ans. Les sociétés qui n’ont pas débuté leur transformation numérique ou l’automatisation de leur système de sécurité sont les plus impactées par ces incidents.
En 2021, les violations de données coûtent en moyenne 3,84 millions d’euros aux entreprises par incident, un chiffre similaire à 2019 (3,85 M€), avant le début de la crise sanitaire, et bien supérieur à celui de 2020 (3,65 M€). La tendance, à la hausse depuis 2010, montre par ailleurs que la valeur moyenne des fichiers est plus importante rapportée au coût global d’un incident. Parmi les secteurs touchés par ces violations de données, on note que les coûts par fichiers ont bondi dans le secteur de la finance (220 euros) de la santé (213 euros) et des technologies (190 euros) contre une moyenne de 144 euros.
Phishing et compromission de tiers au premier rang des vecteurs
Lors des incidents cybers observés, un ou plusieurs vecteurs peuvent en être l’origine. IBM observe que les causes les plus récurrentes sont, par ordre de coût décroissant, une vulnérabilité dans un logiciel tiers (4,74 M€), du phishing (4,18 M€), une mauvaise configuration du cloud (3,79 M€), et des informations d'identification volées (3,46 M€). Ces vecteurs d’attaques représentent 64% de l’ensemble des causes identifiées sur le marché actuel. Moins fréquente, la compromission d’une boîte e-mail professionnelle représente toutefois la violation de données la plus coûteuse pour un total de 4,92 millions d’euros.
L’environnement zero trust contribue par ailleurs à réduire les coûts. Si l’entreprise n’adopte pas la confiance zéro, une violation de données pourrait alors coûter 1,5 fois plus à l’entreprise. Parmi les entreprises françaises sondées, on note que 44% d’entre elles sont passés à un tel environnement, un long chemin reste donc à parcourir pour accroître la sécurité des organisations. L'adoption de certaines technologies telles que l'IA, l'analyse de la sécurité et le chiffrement ont néanmoins permis de réduire le coût d'une violation.
La migration vers le cloud à surveiller, l'automatisation prônée
Parmi les facteurs aggravants le coût d'un violation de données, la migration vers le cloud placé en tête en augmentant la note finale de plus de 330 K€. IBM s'est aussi penché sur la durée de vie d'un incident de sécurité (comprenant l’identification puis la correction du bug) sur le cloud et a constaté que le recours au cloud privé met 200 jours contre le mode hybride qui affiche 300 jours. L'étude montre toutefois que la mise en place de services de sécurité pour le cloud atténue l'impact financier des entreprises touchées. On notera que le travail à distance est également un facteur aggravant. Pour les sociétés ayant choisi d’avoir plus de 50% de leurs équipes à distance, le temps d’identification et de résolution d’un incident sur les données s’en voit rallongé. Il constitue une coût supplémentaire moyen évalué à plus de 180 K€.
De la même façon, l’automatisation du système de sécurité dans l’entreprise est une variable à ne pas négliger. Seulement 24% des entreprises sondées possèdent actuellement un système complètement automatisé, réduisant de quelques jours le temps d’identification et de correction de la violation de données et par conséquent, le coût total engendré.