Le coût moyen des violations de données bat des records [Data Breach]

Les problèmes de violation des données – Data Breach en anglais – représentent un coût croissant pour les entreprises. Cela concerne aussi bien les grandes entreprises que les PME – PMI. Pour ces dernières, un Data Breach peut mettre en danger leur survie même.

IBM Security et le Ponemon Institute ont récemment publié une étude fort intéressante sur le sujet  (« Cost of Data Breach Report 2019 »). Celle-ci nous apprend – entre autres choses – que le coût moyen d’une violation de données a augmenté de 8,39% en France, pour atteindre 3,85 millions d’euros. L’étude présente des chiffres, des statistiques mais aussi des enseignements éclairants. Elle donne des pistes pour contenir le coût des Data Breach.

data breach etude

Le coût des Data Breach explose et appelle à une gouvernance des données renforcée.

Cabinet de conseil en Données Clients, CustUp accompagne les entreprises dans leurs projets d’amélioration de la gouvernance et de la sécurité de leurs données clients. Nous intervenons régulièrement sur des problématiques de mise en conformité  au RGPD – Règlement général sur la protection des données personnelles.

Les violations de données représentent un coût moyen de 3,8 millions d'euros pour les entreprises françaises

Comme nous le disions en introduction, l’étude menée par la filiale Sécurité d’IBM et le Ponemon Institute présentent un certain nombre de données chiffrées très intéressantes. Voici quelques-uns des principaux chiffres à retenir.

Monde :

  • $3.92 M : Coût moyen d’un Data Breach.
  • 25, 572 : Nombre moyen d’enregistrements touchés par une violation de données.
  • $150 : Coût moyen par enregistrement perdu ou volé.
  • 279 jours : Temps moyen pour identifier et contenir la violation.

Au niveau mondial, c’est dans le secteur de la santé que l’on trouve le coût moyen le plus élevé : 6.45 millions de dollars.

France :

  • Coût moyen d’un Data Breach : 3,8 millions d’euros.
  • Coût moyen par enregistrement perdu ou volé : 147 euros.
  • Taille moyenne d’un Data Breach : 26 300 enregistrements.
  • Nombre de jours pour identifier et contenir la violation : 312 jours.
data breach ibm

Data Breach, chiffres clés : Monde VS France. Source : IBM Security / Ponemon Institute

La France se classe au cinquième rang mondial des pays où le coût d’un Data Breach est le plus élevé. Ce coût moyen est d’ailleurs très variable suivant les secteurs d’activité :

  • Finance : 5,8 millions d’euros en moyenne.
  • Pharmacie : 4,2 millions d’euros.
  • Technologie : 4,7 millions d’euros.
  • Secteur public : 2 millions d’euros.

Pour une entreprise, le risque de faire face à un Data Breach dans les deux années à venir était de 29,6% en 2019, contre 27,9% en 2018 et 22,6% en 2014. Le risque augmente d’année en année.

Le coût moyen d’un Data Breach varie considérablement d’un pays à l’autre. Ce que l’on constate surtout, c’est que ce coût est aux Etats-Unis largement supérieur à la moyenne mondiale. Il s’élève à $8 .19 M.

D'autres enseignements ilmportants à retenir de cette étude

L’étude présente d’autres chiffres et enseignements intéressants :

  • La perte de clients et d’activité est le premier facteur de coût résultant d’un Data Breach. Ce facteur représente 36% du coût moyen total d’une violation de données.
  • Le coût d’un Data Breach s’étale sur plusieurs années. Près d’un tiers des coûts associés à un Data Breach sont engagés plus d’un an après l’incident. Les effets d’un Data Breach se font ressentir sur plusieurs années.
  • Le temps entre le moment où se produit la violation des données et le moment où la violation est contenue augmente en 2019 par rapport à 2018. en 2019, le temps moyen pour identifier une violation est de 206 jours et le temps moyen pour contenir la violation découverte est de 73 jours (soit 279 jours au total).
  • Les attaques malveillantes sont la principale cause de Data Breach et occasionnent les Data Breach les plus coûteux ($1 M de plus par rapport à la moyenne). Les cyberattaques sont à l’origine de 51% des violations de données en 2019 (contre 42% en 2014). Le temps nécessaire pour contenir une violation de données liée à une cyber-attaque est beaucoup plus long que la moyenne : 314 jours.
  • Les défaillances techniques et les erreurs humaines restent malgré tout des causes courantes de Data Breach, puisqu’elles sont à l’origine de 49% des fuites de données.
  • Les entreprises de taille moyenne font face aux coûts les plus élevés proportionnellement à leur taille. En effet, le coût moyen d’un Data Breach est de $2.62 M pour les entreprises de 500 à 1000 salariés (soit $3.533 par salarié), contre $5.11 M pour les entreprises de plus de 25 000 salariés (soit $204 par salarié). Un Data Breach peut mettre en danger la survie des entreprises de taille moyenne.

Comment réduire le coût des violations de données ? Quelques pistes

L’étude ne s’intéresse pas seulement aux coûts des violations de données, elle met également en avant les principaux facteurs de risque et les voies pour limiter ces coûts.

Selon le Penomon Institute, le facteur numéro un de réduction des coûts réside dans la capacité de l’entreprise à répondre aux Data Breach. Nous l’avons vu, le temps moyen de réponse est de 279 jours : 206 pour identifier la violation et 73 jours pour la contenir. L’étude montre que pour les entreprises capables de détecter et de contenir un Data Breach en moins de 200 jours, le coût total est inférieur de 1.2 M par rapport à la moyenne.

L’enjeu principal réside donc dans la rapidité et l’efficacité de la réponse des entreprises face aux violations auxquelles elles font face. Comment y parvenir ? Plusieurs pistes sont mises en avant par l’étude :

  • En constituant une équipe de réponse à incidents.
  • En faisant des tests de sécurité approfondis.

D’autres facteurs permettent de réduire le coût total :

  • La mise en place de technologies d’automatisation de la sécurité (basées sur l’IA et le machine learning) : cela permet de diviser le coût par deux selon le Ponemon Institute.
  • Le chiffrement des données, qui permet de réduire le coût de 360 000 dollars.
  • Le contrôle de la sécurité des partenaires et fournisseurs de données tierces, qui permet de réduire le coût de 370 000 dollars.

Méthodologie de l’étude

L’étude a été sponsorisée par IBM Security et pilotée par le Ponemon Institute. Pour la réaliser, le Ponemon Institute a organisé des entretiens approfondis avec des représentants de plus de 500 entreprises dans le monde ayant fait l’expérience d’un Data Breach entre juillet 2018 et avril 2019. 32 entreprises françaises ont participé à l’étude.

Pour calculer le coût des violations de données, Ponemon Institute a pris en compte des centaines de coûts induits par les Data Breach : les coûts juridiques, les coûts techniques, les coûts liés à la perte de valeur de la marque et à la perte de clients, etc.