Le coût des violations de données augmente à l'ère du COVID-19.

Version imprimable, PDF et e-mail

Selon une étude menée par l'Institut Ponemon pour IBM Security auprès de 500 entreprises, la généralisation du télétravail a favorisé de manière significative la hausse des coûts liés aux violations de données.

Près de 20 % des entreprises interrogées citent le télétravail parmi les facteurs responsables des violations de données dont elles ont été victimes. L'étude révèle une hausse des coûts de 1 million de dollars lorsque le télétravail est identifié comme facteur de l'incident (4,96 contre 3,89 millions de dollars).

La principale méthode utilisée comme point d'entrée était la compromission des identifiants, observée dans 20 % des attaques étudiées. Les données personnelles des clients, telles que leur nom, leur adresse e-mail et leurs mots de passe, étaient principalement compromises lors de ces violations de données (44 %).

Le délai moyen pour détecter et contenir une violation de données est de 287 jours. Les violations de données attribuées à la compromission d'identifiants sont les plus longues à détecter (250 jours).

Par ailleurs, la perte d'informations d'identification personnelle (PII) s'est avérée être la plus coûteuse, à savoir 180 dollars par dossier perdu ou volé contre 161 dollars par dossier pour les autres types de données.

Selon l'étude, les entreprises ont subi des coûts s'élevant en moyenne à 4,24 millions de dollars par incident, soit une hausse de 10 % par rapport à l'année précédente. Il est à noter toutefois que ce coût moyen prend en compte plusieurs méga violations. Le coût moyen d'une méga violation concernant 50 à 65 millions de dossiers est de 401 millions de dollars. C'est près de 100 fois plus cher que la majorité des violations de données étudiées.

L'étude indique également que les entreprises ayant subi une violation de données au cours d'un projet de migration vers le cloud ont enregistré une hausse des coûts de 18,8 % par rapport à la moyenne. L'étude précise toutefois que les entreprises qui sont en phase avancée dans leur projet de modernisation cloud ont pu détecter les incidents et y répondre plus rapidement, à savoir 77 jours plus tôt que celles qui n'en étaient qu'à leur première phase, celle de l'adoption. Les entreprises ayant mis en œuvre une stratégie cloud hybride ont subi des coûts de violation de données moins élevés (3,61 millions de dollars) que celles ayant privilégié le cloud public (4,80 millions de dollars) ou le cloud privé (4,55 millions de dollars).

Les entreprises ayant investi dans un large éventail de solutions de sécurité ont pu également limiter le coût des violations subies. L'IA, l'analyse de la sécurité et le chiffrement sont les trois principaux facteurs ayant permis une réduction des coûts par violation de 1,25 à 1,49 millions de dollars en moyenne.

Les entreprises n'ayant pas entamé leur transition numérique ont subi des coûts plus élevés, à savoir 750 000 dollars de plus que la moyenne. Les entreprises qui ont déployé une stratégie zero trust ont enregistré un coût moyen de 3,28 millions de dollars par violation de données, soit 1,76 millions de dollars de moins que celles ne disposant pas d'une architecture zero trust.

L'étude souligne également que le nombre d'entreprises qui choisissent d'automatiser leur sécurité est en hausse par rapport aux années précédentes, ce qui a permis de réaliser des économies importantes. Environ 65 % des entreprises interrogées déclarent avoir partiellement ou complètement automatisé la sécurité de leur environnement, contre 52 % il y a deux ans. Les entreprises ayant déployé une stratégie d'automatisation de la sécurité « complète » ont enregistré un coût moyen par violation de données de 2,90 millions de dollars, soit plus de deux fois moins que les autres entreprises, qui ont subi des coûts s'élevant à 6,71 millions de dollars.

Les entreprises qui disposent d'une équipe de réponse aux incidents ayant testé leur plan de réponse aux incidents ont enregistré un coût moyen de 3,25 millions de dollars par violation de données, soit 55 % de moins que les entreprises sans plan ou qui ne l'avaient pas testé. En effet, ces dernières ont subi des coûts s'élevant à 5,71 millions de dollars.

Bien entendu, le coût des violations de données varie d'une entreprise à l'autre. Bon nombre de solutions permettent de réduire ces dépenses, mais sans efforts supplémentaires de la part des entreprises, le coût moyen des violations de données ne cessera d'augmenter.

 

Remonter en haut de page
Tweeter
Partager
Partager