Le coût moyen d’une violation de données est globalement de 3,86 millions de dollars, soit une augmentation de plus de 6 % par rapport au rapport de 2017. C’est ce qu’indique la nouvelle enquête réalisée commanditée par IBM Security et menée par le Ponemon Institute
Les coûts cachés associés aux violations de données – pertes de chiffre d’affaires (CA), impact négatif sur la réputation et temps passé par les employés sur la récupération des données – sont difficiles et coûteux à gérer. Cette année, pour la première fois, l’étude a également calculé les coûts associés aux « méga-violations » allant de 1 à 50 millions d’enregistrements perdus, projetant que ces violations coûtent respectivement aux entreprises entre 40 et 350 millions de dollars.
« Bien que les violations de données hautement médiatisées signalent souvent des pertes de plusieurs millions, ces chiffres sont très variables et souvent concentrés sur quelques coûts spécifiques qui sont facilement quantifiés », commente Wendi Whitmore, responsable mondiale d’IBM X-Force Incident Response and Intelligence Services (IRIS). « La vérité est qu’il existe de nombreuses dépenses cachées qui doivent être prises en compte, telles que les préjudices de réputation, la rotation de la clientèle, et les coûts opérationnels. Savoir où se situent les coûts et comment les réduire peut aider les entreprises à investir leurs ressources de façon plus stratégique et à réduire les énormes risques financiers en jeu. »
Chiffres masqués – Calcul du coût d’une méga violation
Au cours des cinq dernières années, le nombre de méga-violations (violations de plus d’un million d’enregistrements) a presque doublé – passant de 9 méga-violations en 2013 à 16 méga-violations en 2017. En raison de la faible quantité de méga-violations dans le passé, l’étude du coût d’une violation de données analysait historiquement les violations de données d’environ 2 500 à 100 000 enregistrements perdus.
Basé sur l’analyse de 11 entreprises ayant subi une méga-violation au cours des deux dernières années, le rapport de cette année utilise la modélisation statistique pour prévoir le coût des violations allant de 1 à 50 millions d’enregistrements compromis. En voici les principales conclusions :
– Le coût moyen d’une violation de données d’1 million d’enregistrements compromis est de près de 40 millions de dollars
– À 50 millions d’enregistrements, le coût total estimé d’une violation est de 350 millions de dollars
– La grande majorité de ces violations (10 sur 11) sont le résultat d’attaques malveillantes et criminelles (par opposition à des défaillances du système ou à des erreurs humaines).
– Le délai moyen pour détecter et contenir une méga-violation était de 365 jours – presque 100 jours de plus que pour une violation à plus petite échelle (266 jours)
La quantité d’enregistrements perdus ou volés a également une incidence sur le coût d’une violation, cela coûte en moyenne 148 $ par dossier perdu ou volé. L’étude a examiné plusieurs facteurs qui augmentent ou diminuent ce coût :
– Avoir une équipe de réponse aux incidents a été le facteur d’économie le plus important, réduisant le coût de 14 $ par enregistrement compromis
– L’utilisation d’une plateforme d’intelligence artificielle pour la cybersécurité a réduit le coût de 8 $ par enregistrement perdu ou volé
– Les entreprises qui ont indiqué s’être précipitées pour notifier la violation avaient un coût plus élevé de 5 $ par enregistrement perdu ou volé
L’analyse a révélé que les entreprises qui avaient largement déployé des technologies de sécurité automatisées ont économisé plus de 1,5 million de dollars sur le coût total d’une violation (2,88 millions de dollars, contre 4,43 millions de dollars pour celles qui n’avaient pas automatisé la sécurité).