IBM Security vient de publier une étude mondiale sur l’impact financier des brèches et des vols de données. En moyenne, les entreprises mettent toujours 205 jours à identifier les brèches !

Les fuites de données résultant des brèches dans le système d’information coûtent en moyenne aux grandes entreprises 3,86 millions de dollars par incident si l’on en croit la nouvelle étude publiée par IBM Security et réalisée par le Ponemon Institute.

Cette étude s’appuie sur une analyse approfondie des vols de données subies par plus de 500 grandes entreprises et organisations à travers le monde.

Selon l’étude, 80 % de ces incidents ont entraîné l’exposition d’informations personnelles identifiables (PII) des clients, violations qui s’avèrent les plus coûteuses pour les entreprises.

Bien évidemment, les pertes de données ne sont pas toujours directement liées à des cyberattaques. Ces dernières ne représentent que 55% des causes principales. Les systèmes mal configurés y contribuent également à hauteur de 24% et les erreurs humaines à hauteur de 21%.

Des coûts qui varient selon l’origine des attaques.

Toutes les brèches n’engendrent pas une même volumétrie de fuite de données. Plus la volumétrie des données volées est importante, plus les coûts sont importants. L’étude note que « les violations lors desquelles plus de 50 millions d’enregistrements ont été compromis ont fait grimper les coûts à 392 millions de dollars, contre 388 millions l’année précédente. Les violations où 40 à 50 millions d’enregistrements ont été exposés ont coûté aux entreprises 364 millions de dollars en moyenne, soit une augmentation des coûts de 19 millions de dollars par rapport au rapport de 2019 ».

Autre élément qui fait grimper la facture, la compromission des comptes. « Dans les cas où des attaquants ont accédé aux réseaux d’entreprises en utilisant des informations d’identification volées ou compromises, les entreprises ont vu les coûts liés aux violations de données augmenter de près d’un million de dollars par rapport à la moyenne mondiale – atteignant 4,77 millions de dollars par violation de données ».

Bien qu’elles ne représentent que 13 % des violations malveillantes étudiées, les attaques que l’on suppose sponsorisées par des États se révèlent les plus coûteuses. « La nature hautement tactique, la longévité et les manœuvres furtives des attaques soutenues par l’État, ainsi que les données de grande valeur ciblées, entraînent souvent une compromission plus importante des environnements des victimes, ce qui augmente les coûts des violations à une moyenne de 4,43 millions de dollars » expliquent les rapporteurs du Ponemon Institute.

Des facteurs aggravants

L’étude analyse également l’impact de 25 facteurs sur le coût total d’une fuite de données.
Parmi eux, 17 facteurs contribuent activement à réduire la facture. Les trois plus importants sont le chiffrement généralisé, la formation des collaborateurs, et la mise en œuvre de plans de continuité.
À l’inverse, 8 facteurs viennent gonfler l’addition finale. Si le manque de compétences en sécurité est un facteur d’aggravation évident, les migrations cloud et le non-respect des conformités arrivent juste derrière. Parmi les autres facteurs handicapants, le Ponemon Institute a retenu le vol des appareils mobiles, l’IoT, les brèches des partenaires et fournisseurs, la complexité des systèmes de sécurité et le télétravail.

Des conclusions à garder à l’esprit

Le rapport 2020 fournit également d’autres éléments stratégiques à retenir :

* Le télétravail augmente les risques et la facture cyber : 70 % des entreprises étudiées qui ont adopté le télétravail dans le contexte de la pandémie s’attendent à ce que cela exacerbe les coûts liés aux violations de données.

* Les RSSI demeurent responsables malgré un pouvoir de décision limité : 46 % des responsables interrogés ont déclaré que le RSSI est responsable en dernier ressort des violations de données. Cependant seuls 27% des responsables déclarent que le RSSI est le décideur en matière de politique de sécurité et de technologie. Le rapport révèle cependant que la nomination d’un RSSI est associée à une économie de 145 000 dollars par rapport au coût moyen d’une brèche.

* Une cyberassurance réduit les coûts de façon assez marginale : Le rapport révèle que les violations commises dans les organisations ayant une cyberassurance coûtent en moyenne 200 000 dollars de moins que la moyenne mondiale de 3,86 millions de dollars. Parmi les organisations qui ont utilisé leur cyberassurance, 51 % l’ont appliquée pour couvrir les honoraires de consultation de tiers et les services juridiques, tandis que 36 % des organisations l’ont utilisée pour les frais de dédommagement des victimes. Seulement 10 % ont utilisé les demandes de remboursement pour couvrir le coût du ransomware ou de l’extorsion.

* Il faut en moyenne 205 jours pour identifier une brèche. Mais les résultats dépendent en réalité du type de brèche. Une attaque malveillante n’est en moyenne détectée qu’après 228 jours contrairement aux erreurs humaines et aux mauvaises configurations qui sont détectées en moyenne aux alentours de 170 jours.