L’entité Sécurité d’IBM (NYSE: IBM) a annoncé aujourd'hui les résultats d'une étude mondiale examinant l'impact financier complet d'une violation de données sur les résultats financiers d'une entreprise. Dans l'ensemble, l'étude a révélé que les coûts cachés associés aux violations de données - pertes de chiffre d’affaires (CA), impact négatif sur la réputation et temps passé par les employés sur la récupération des données - sont difficiles et coûteux à gérer. Par exemple, l'étude a révélé que le tiers du coût des « méga-violations » (plus d'un million d’enregistrements perdus) provenait des pertes en CA.
Sponsorisée par IBM Security et menée par le Ponemon Institute, l'étude 2018 sur le coût d'une violation de données[1] a révélé que le coût moyen d'une violation de données est globalement de 3,86 millions de dollars[2], soit une augmentation de 6,4% par rapport au rapport de 2017. Basée sur des entretiens approfondis avec près de 500 entreprises ayant subi une violation de données, l'étude analyse des centaines de facteurs de coûts liés à une violation, des investigations techniques et la récupération, aux notifications, aux activités légales et réglementaires et au coût lié à la perte de CA et de réputation.
Cette année, pour la première fois, l'étude a également calculé les coûts associés aux "méga-violations" allant de 1 à 50 millions d'enregistrements perdus, projetant que ces violations coûtent respectivement aux entreprises entre 40 et 350 millions de dollars.
« Bien que les violations de données hautement médiatisées signalent souvent des pertes de plusieurs millions, ces chiffres sont très variables et souvent concentrés sur quelques coûts spécifiques qui sont facilement quantifiés », a déclaré Wendi Whitmore, responsable mondiale d’IBM X-Force Incident Response and Intelligence Services (IRIS). « La vérité est qu'il existe de nombreuses dépenses cachées qui doivent être prises en compte, telles que les préjudices de réputation, la rotation de la clientèle, et les coûts opérationnels. Savoir où se situent les coûts et comment les réduire peut aider les entreprises à investir leurs ressources de façon plus stratégique et à réduire les énormes risques financiers en jeu. »
Chiffres masqués - Calcul du coût d'une méga violation
Au cours des cinq dernières années, le nombre de méga-violations (violations de plus d'un million d’enregistrements) a presque doublé - passant de 9 méga-violations en 2013 à 16 méga-violations en 2017[3]. En raison de la faible quantité de méga-violations dans le passé, l'étude du coût d'une violation de données analysait historiquement les violations de données d'environ 2 500 à 100 000 enregistrements perdus.
Basé sur l'analyse de 11 entreprises ayant subi une méga-violation au cours des deux dernières années, le rapport de cette année utilise la modélisation statistique pour prévoir le coût des violations allant de 1 à 50 millions d'enregistrements compromis. En voici les principales conclusions :
· Le coût moyen d'une violation de données d’1 million d’enregistrements compromis est de près de 40 millions de dollars
· À 50 millions d'enregistrements, le coût total estimé d'une violation est de 350 millions de dollars
· La grande majorité de ces violations (10 sur 11) sont le résultat d'attaques malveillantes et criminelles (par opposition à des défaillances du système ou à des erreurs humaines).
· Le délai moyen pour détecter et contenir une méga-violation était de 365 jours - presque 100 jours de plus que pour une violation à plus petite échelle (266 jours)
Pour les méga-violations, la catégorie de dépenses la plus importante était les coûts associés à la perte de CA, estimée à près de 118 millions de dollars pour des violations de 50 millions d'enregistrements - presque un tiers du coût total d'une violation de cette taille. IBM a analysé les coûts publiquement déclarés de plusieurs cas importants de méga-violations et a trouvé que les chiffres signalés sont souvent inférieurs au coût moyen trouvé dans l'étude[4]. Cela est probablement dû au fait que les coûts déclarés publiquement se limitent souvent aux coûts directs, tels que la technologie et les services nécessaires pour se remettre de la violation, les frais légaux et réglementaires, et les dédommagements aux clients.
Quels sont les facteurs qui impactent le coût moyen d'une violation de données?
Au cours des 13 dernières années, le Ponemon Institute a examiné le coût associé aux violations de données de moins de 100 000 enregistrements, constatant que les coûts ont régulièrement augmenté au cours de l'étude. Le coût moyen d'une violation de données était de 3,86 millions de dollars dans l'étude de 2018, comparativement à 3,50 millions de dollars en 2014, ce qui représente une augmentation nette de près de 10% au cours des cinq dernières années de l'étude.
L'étude examine également les facteurs qui augmentent ou diminuent le coût de la violation, montrant que les coûts sont fortement impactés par le temps passé à contenir une violation de données, ainsi que par les investissements dans les technologies qui accélèrent le temps de réponse.
· Le délai moyen pour identifier une violation de données dans l'étude était de 197 jours, et le délai moyen pour contenir une violation de données une fois identifiée était de 69 jours.
· Les entreprises qui ont contenu une violation en moins de 30 jours ont économisé plus d'un million de dollars par rapport à celles qui ont pris plus de 30 jours (3,09 millions de dollars contre 4,25 millions de dollars en moyenne).
La quantité d’enregistrements perdus ou volés a également une incidence sur le coût d'une violation, cela coûte en moyenne 148 $ par dossier perdu ou volé. L'étude a examiné plusieurs facteurs qui augmentent ou diminuent ce coût :
· Avoir une équipe de réponse aux incidents a été le facteur d'économie le plus important, réduisant le coût de 14 $ par enregistrement compromis
· L'utilisation d'une plateforme d’intelligence artificielle pour la cybersécurité a réduit le coût de 8 $ par enregistrement perdu ou volé
· Les entreprises qui ont indiqué s’être précipitées pour notifier la violation avaient un coût plus élevé de 5 $ par enregistrement perdu ou volé
Cette année, pour la première fois, le rapport examinait l'effet des outils d'automatisation de la sécurité qui utilisent l'intelligence artificielle, le machine learning, l'analytique et l'orchestration pour améliorer l’efficacité de l'intervention humaine dans l'identification et le confinement d'une violation. L'analyse a révélé que les entreprises qui avaient largement déployé des technologies de sécurité automatisées ont économisé plus de 1,5 million de dollars sur le coût total d'une violation (2,88 millions de dollars, contre 4,43 millions de dollars pour celles qui n'avaient pas automatisé la sécurité).
Différences régionales et sectorielles
L'étude a également comparé le coût des violations de données dans différents secteurs et régions, soulignant le fait que les violations de données sont les plus coûteuses aux États-Unis et au Moyen-Orient, et les moins coûteuses au Brésil et en Inde.
· Les sociétés américaines ont connu le coût moyen le plus élevé d'une violation à 7,91 millions de dollars, suivies par le Moyen-Orient à 5,31 millions de dollars.
· Le coût total le plus bas d'une violation était de 1,24 million de dollars au Brésil, suivi par l’Inde avec 1,77 million de dollars.
L'un des principaux facteurs influant sur le coût d'une violation de données aux États-Unis était le coût lié au chiffre d’affaires perdu, qui s'élevait à 4,2 millions de dollars - plus que le coût moyen global d'une violation et plus du double des coûts liés au business perdu dans n’importe quelle autre région sondée. L'un des principaux facteurs ayant une incidence sur les coûts dûs au CA perdu est la rotation de la clientèle suite à une violation ; En fait, un récent IBM / Harris poll report a révélé que 75% des consommateurs aux États-Unis déclarent qu'ils ne feront pas affaire avec des entreprises auxquelles ils ne font pas confiance pour protéger leurs données.
Pour la huitième année consécutive, les organismes de soins de santé ont eu les coûts les plus élevés associés aux violations de données - 408 $ par enregistrement perdu ou volé - près de trois fois plus élevés que la moyenne inter-sectorielle (148 $).
« Le but de notre recherche est de démontrer la valeur de bonnes pratiques de protection des données et les facteurs qui font une différence tangible dans ce qu'une entreprise dépense pour résoudre une violation de données. » a déclaré le Dr Larry Ponemon, Président et Fondateur du Ponemon Institute. « Alors que les coûts liés aux violations de données augmentent régulièrement depuis le début de l'étude, nous voyons des signes positifs d'économies grâce à l'utilisation de technologies plus récentes et à une planification adéquate de réponse aux incidents, ce qui peut réduire considérablement ces coûts ».
Données concernant la France
· Neuf années de données historiques
· 31 entreprises françaises ont participé à l'étude cette année
· Le coût total moyen d'une violation de données est de 3,54 millions d'euros, soit une augmentation de 8,2% par rapport à l'année précédente.
· Le coût par habitant est de 140 euros par enregistrement perdu ou volé, soit une augmentation de 2,9% par rapport à l'année précédente
· Les attaques malveillantes ou criminelles sont à l'origine de 55% des violations de données
· Le temps moyen pour identifier la violation de données est passé de 214 à 210 jours
· Le délai moyen pour contenir la violation de données est passé de 78 à 75 jours
[1] Data collection began February 2017 and interviews were completed in April 2018
[2] Average cost for data breaches of 2,500-100,000 lost or stolen records
[3] Source: IBM analysis of Privacy Rights Clearinghouse's Chronology of Data Breaches
[4] Equifax data breach reported to cost company $275 million; Target 2016 financial report estimated $292 million loss as a result of 2013 data breach; Ruby Corp (the parent company of Ashley Madison) reportedly paid $11.2 million for the settlement of its 2015 breach.
Sponsorisée par IBM Security et menée par le Ponemon Institute, l'étude 2018 sur le coût d'une violation de données[1] a révélé que le coût moyen d'une violation de données est globalement de 3,86 millions de dollars[2], soit une augmentation de 6,4% par rapport au rapport de 2017. Basée sur des entretiens approfondis avec près de 500 entreprises ayant subi une violation de données, l'étude analyse des centaines de facteurs de coûts liés à une violation, des investigations techniques et la récupération, aux notifications, aux activités légales et réglementaires et au coût lié à la perte de CA et de réputation.
Cette année, pour la première fois, l'étude a également calculé les coûts associés aux "méga-violations" allant de 1 à 50 millions d'enregistrements perdus, projetant que ces violations coûtent respectivement aux entreprises entre 40 et 350 millions de dollars.
« Bien que les violations de données hautement médiatisées signalent souvent des pertes de plusieurs millions, ces chiffres sont très variables et souvent concentrés sur quelques coûts spécifiques qui sont facilement quantifiés », a déclaré Wendi Whitmore, responsable mondiale d’IBM X-Force Incident Response and Intelligence Services (IRIS). « La vérité est qu'il existe de nombreuses dépenses cachées qui doivent être prises en compte, telles que les préjudices de réputation, la rotation de la clientèle, et les coûts opérationnels. Savoir où se situent les coûts et comment les réduire peut aider les entreprises à investir leurs ressources de façon plus stratégique et à réduire les énormes risques financiers en jeu. »
Chiffres masqués - Calcul du coût d'une méga violation
Au cours des cinq dernières années, le nombre de méga-violations (violations de plus d'un million d’enregistrements) a presque doublé - passant de 9 méga-violations en 2013 à 16 méga-violations en 2017[3]. En raison de la faible quantité de méga-violations dans le passé, l'étude du coût d'une violation de données analysait historiquement les violations de données d'environ 2 500 à 100 000 enregistrements perdus.
Basé sur l'analyse de 11 entreprises ayant subi une méga-violation au cours des deux dernières années, le rapport de cette année utilise la modélisation statistique pour prévoir le coût des violations allant de 1 à 50 millions d'enregistrements compromis. En voici les principales conclusions :
· Le coût moyen d'une violation de données d’1 million d’enregistrements compromis est de près de 40 millions de dollars
· À 50 millions d'enregistrements, le coût total estimé d'une violation est de 350 millions de dollars
· La grande majorité de ces violations (10 sur 11) sont le résultat d'attaques malveillantes et criminelles (par opposition à des défaillances du système ou à des erreurs humaines).
· Le délai moyen pour détecter et contenir une méga-violation était de 365 jours - presque 100 jours de plus que pour une violation à plus petite échelle (266 jours)
Pour les méga-violations, la catégorie de dépenses la plus importante était les coûts associés à la perte de CA, estimée à près de 118 millions de dollars pour des violations de 50 millions d'enregistrements - presque un tiers du coût total d'une violation de cette taille. IBM a analysé les coûts publiquement déclarés de plusieurs cas importants de méga-violations et a trouvé que les chiffres signalés sont souvent inférieurs au coût moyen trouvé dans l'étude[4]. Cela est probablement dû au fait que les coûts déclarés publiquement se limitent souvent aux coûts directs, tels que la technologie et les services nécessaires pour se remettre de la violation, les frais légaux et réglementaires, et les dédommagements aux clients.
Quels sont les facteurs qui impactent le coût moyen d'une violation de données?
Au cours des 13 dernières années, le Ponemon Institute a examiné le coût associé aux violations de données de moins de 100 000 enregistrements, constatant que les coûts ont régulièrement augmenté au cours de l'étude. Le coût moyen d'une violation de données était de 3,86 millions de dollars dans l'étude de 2018, comparativement à 3,50 millions de dollars en 2014, ce qui représente une augmentation nette de près de 10% au cours des cinq dernières années de l'étude.
L'étude examine également les facteurs qui augmentent ou diminuent le coût de la violation, montrant que les coûts sont fortement impactés par le temps passé à contenir une violation de données, ainsi que par les investissements dans les technologies qui accélèrent le temps de réponse.
· Le délai moyen pour identifier une violation de données dans l'étude était de 197 jours, et le délai moyen pour contenir une violation de données une fois identifiée était de 69 jours.
· Les entreprises qui ont contenu une violation en moins de 30 jours ont économisé plus d'un million de dollars par rapport à celles qui ont pris plus de 30 jours (3,09 millions de dollars contre 4,25 millions de dollars en moyenne).
La quantité d’enregistrements perdus ou volés a également une incidence sur le coût d'une violation, cela coûte en moyenne 148 $ par dossier perdu ou volé. L'étude a examiné plusieurs facteurs qui augmentent ou diminuent ce coût :
· Avoir une équipe de réponse aux incidents a été le facteur d'économie le plus important, réduisant le coût de 14 $ par enregistrement compromis
· L'utilisation d'une plateforme d’intelligence artificielle pour la cybersécurité a réduit le coût de 8 $ par enregistrement perdu ou volé
· Les entreprises qui ont indiqué s’être précipitées pour notifier la violation avaient un coût plus élevé de 5 $ par enregistrement perdu ou volé
Cette année, pour la première fois, le rapport examinait l'effet des outils d'automatisation de la sécurité qui utilisent l'intelligence artificielle, le machine learning, l'analytique et l'orchestration pour améliorer l’efficacité de l'intervention humaine dans l'identification et le confinement d'une violation. L'analyse a révélé que les entreprises qui avaient largement déployé des technologies de sécurité automatisées ont économisé plus de 1,5 million de dollars sur le coût total d'une violation (2,88 millions de dollars, contre 4,43 millions de dollars pour celles qui n'avaient pas automatisé la sécurité).
Différences régionales et sectorielles
L'étude a également comparé le coût des violations de données dans différents secteurs et régions, soulignant le fait que les violations de données sont les plus coûteuses aux États-Unis et au Moyen-Orient, et les moins coûteuses au Brésil et en Inde.
· Les sociétés américaines ont connu le coût moyen le plus élevé d'une violation à 7,91 millions de dollars, suivies par le Moyen-Orient à 5,31 millions de dollars.
· Le coût total le plus bas d'une violation était de 1,24 million de dollars au Brésil, suivi par l’Inde avec 1,77 million de dollars.
L'un des principaux facteurs influant sur le coût d'une violation de données aux États-Unis était le coût lié au chiffre d’affaires perdu, qui s'élevait à 4,2 millions de dollars - plus que le coût moyen global d'une violation et plus du double des coûts liés au business perdu dans n’importe quelle autre région sondée. L'un des principaux facteurs ayant une incidence sur les coûts dûs au CA perdu est la rotation de la clientèle suite à une violation ; En fait, un récent IBM / Harris poll report a révélé que 75% des consommateurs aux États-Unis déclarent qu'ils ne feront pas affaire avec des entreprises auxquelles ils ne font pas confiance pour protéger leurs données.
Pour la huitième année consécutive, les organismes de soins de santé ont eu les coûts les plus élevés associés aux violations de données - 408 $ par enregistrement perdu ou volé - près de trois fois plus élevés que la moyenne inter-sectorielle (148 $).
« Le but de notre recherche est de démontrer la valeur de bonnes pratiques de protection des données et les facteurs qui font une différence tangible dans ce qu'une entreprise dépense pour résoudre une violation de données. » a déclaré le Dr Larry Ponemon, Président et Fondateur du Ponemon Institute. « Alors que les coûts liés aux violations de données augmentent régulièrement depuis le début de l'étude, nous voyons des signes positifs d'économies grâce à l'utilisation de technologies plus récentes et à une planification adéquate de réponse aux incidents, ce qui peut réduire considérablement ces coûts ».
Données concernant la France
· Neuf années de données historiques
· 31 entreprises françaises ont participé à l'étude cette année
· Le coût total moyen d'une violation de données est de 3,54 millions d'euros, soit une augmentation de 8,2% par rapport à l'année précédente.
· Le coût par habitant est de 140 euros par enregistrement perdu ou volé, soit une augmentation de 2,9% par rapport à l'année précédente
· Les attaques malveillantes ou criminelles sont à l'origine de 55% des violations de données
· Le temps moyen pour identifier la violation de données est passé de 214 à 210 jours
· Le délai moyen pour contenir la violation de données est passé de 78 à 75 jours
[1] Data collection began February 2017 and interviews were completed in April 2018
[2] Average cost for data breaches of 2,500-100,000 lost or stolen records
[3] Source: IBM analysis of Privacy Rights Clearinghouse's Chronology of Data Breaches
[4] Equifax data breach reported to cost company $275 million; Target 2016 financial report estimated $292 million loss as a result of 2013 data breach; Ruby Corp (the parent company of Ashley Madison) reportedly paid $11.2 million for the settlement of its 2015 breach.