|
Le coût des effractions de données en France |
|
19-05-2010 |
Sécurité - Etude - Le Ponemon Institute, un cabinet spécialisé dans la gestion et la confidentialité des informations, et PGP Corporation, ont publié les résultats de la première étude annuelle sur les coûts subis par les organisations françaises suite à une effraction de leurs données. Le rapport “Etude annuelle 2009 : le coût des effractions de données en France”, révèle que chaque dossier client compromis a coûté en moyenne 89 euros en 2009.
La réponse a posteriori de l’incident représente le principal vecteur des coûts (31 euros), suivi conjointement par la perte de chiffre d’affaires et par les activités de détection et de reporting sur les incidents (27 euros). Le coût de notification d’une effraction ressort à 4 euros, un chiffre plutôt bas mais qui s’explique par l’absence de réglementation qui impose aux entreprises françaises de notifier de tels incidents.
Le rapport met en évidence le coût engendré par les différentes tâches qui résultent d’une effraction avérée de données au cours de l’année passée. Au total, 17 entreprises et acteurs des services publics en France ont pris part à cette étude. Le nombre de dossiers compromis comportant des informations personnelles va de 2 500 à 57 700. Les coûts de gestion de ces effractions ressortent dans une fourchette de 400 000 euros à 6,4 millions d’euros, avec un coût moyen de 1,9 millions d’euros.
Un des résultats importants de cette étude 2009 concerne la différence importante entre les différents secteurs d’activité, et notamment entre le secteur privé et le secteur public. Ce dernier subit un coût moyen par dossier compromis de 31 euros, un chiffre qui ressort à 147 euros pour l’industrie pharmaceutique et de 140 euros pour celui des services financiers. Ces deux secteurs sont d’ailleurs ceux qui connaissent le turnover client le plus important, dû à une perte de confiance chez les clients, une situation qui ne se retrouve pas dans le secteur public.
L’étude 2009 démontre que les attaques malveillantes et les réseaux botnets sont les principales sources des effractions de données, et coûtent, au final, bien plus que les effractions induites par des négligences humaines ou des vulnérabilités systèmes. Le coût par dossier compromis suite à une activité malveillante ou criminelle est de 138 euros, contre 85 euros et 77 euros par dossier pour, respectivement, une effraction liée à des négligences et à une vulnérabilité système. Ces chiffres encouragent les entreprises à se protéger de manière plus proactive contre les activités malveillantes externes. Une réponse réactive suite à un incident est, en effet, bien plus coûteuse.
59 pour cent des organisations interrogées cette année ont déclaré avoir subi leur première effraction de données, pour un coût de 99 euros contre 75 euros pour celles ayant déjà connu de tels incidents auparavant. Cet écart peut être attribué au manque d’expérience de ces organisations et à l’absence de processus pour gérer cet incident de manière efficace.
Les erreurs de tiers pèsent également lourdement sur les organisations, et sont à l’origine de 41 pour cent des effractions identifiées lors de cette étude. Les effractions de données qui impliquent une externalisation des données d’entreprise auprès de tiers, notamment dans un cadre offshore, se veulent particulièrement coûteuses. Le coût des dossiers compromis lors de ces effractions est de 130 euros contre 60 euros en l’absence de tierce partie. Un différentiel qui est essentiellement dû aux opérations de recherches, aux expertises post-incident et à des services de conseils.
Enfin, pour 35 pour cent de tous les cas étudiés dans le rapport, l’effraction est la conséquence de la perte ou du vol d’ordinateurs portables et d’équipements nomades hébergeant des données. Les effractions de données impliquant des équipements ressortent à 122 euros par dossier pirate, soit 51 euros (72 pour cent) de plus comparé aux 71 euros pour les incidents hors perte ou vol d’équipements.
Les organisations interrogées à l’occasion de cette étude ont par ailleurs identifié le chiffrement des données et un contrôle plus étendu comme étant les deux principales réponses technologiques à une effraction de données (25 et 21 pour cent respectivement). Parallèlement, les mesures de prévention les plus adoptées ont été de déployer des procédures et des contrôles manuels supplémentaires (53 pour cent), ainsi que des programmes de formation et de sensibilisation (46 pour cent). Parmi les solutions les moins retenues, notons les solutions de sécurité pour poste client (8 pour cent) et les systèmes de gestion d’événement (5 pour cent). Ces chiffres soulignent une certaine réticence de la part des entreprises françaises à investir dans des solutions technologiques et à adopter une approche holistique à la protection de leurs données.
|
Thématiques