Déjà au cours de sa 17ème année, IBM Security avait publié son « Rapport 2021 sur le Coût d’une violation de données », pour lequel l’institut Ponemon avait collecté les données selon une méthode éprouvée. Pour l’édition de 2021, 537 réelles violations de protection des données ont été examinées, issues de 17 différents pays et régions et provenant de 17 secteurs distincts.
Par rapport à l’année précédente, les coûts moyens engendrés par une violation de données ont augmenté de presque 10 %, passant de 3,86 millions de dollars américains à 4,24 millions de dollars. Il s’agit de l’augmentation annuelle la plus importante jamais enregistrée au cours des sept dernières années. Sans surprise, plus les entreprises étaient organisées en termes de sécurité informatique, plus elles ont réussi à s’en tirer sans trop de dégâts.
La COVID-19 comme facteur de coûts
Le télétravail et la transformation digitale en lien avec la pandémie de la COVID-19 ont coûté en moyenne 1,07 million de dollars en fuites de données, lorsque ces facteurs ont constitué la cause principale du problème (ce qui a été le cas pour 17,5 % des entreprises concernées). À titre d’exemple, les sociétés pour lesquelles plus de la moitié des effectifs ne travaillaient pas au sein des locaux jusqu’alors occupés ont eu besoin de 58 jours de plus en moyenne pour détecter les violations de protection des données et limiter leur impact.
À ce propos : en moyenne, il a fallu 287 jours pour détecter une fuite de données et résoudre le problème, c’est-à-dire sept jours de plus comparé au rapport de l’année précédente. Par ailleurs, plus une violation de protection des données a été identifiée tardivement, plus la résolution du problème s’est avérée coûteuse.
Les failles impactant plus de 50 millions de jeux de données ont été classées par IBM et Ponemon comme « méga brèches ». Actuellement, un désastre de cette envergure en termes de protection des données revient à 401 millions de dollars américains en moyenne. Un an plus tôt, il ne s’agissait que de 392 millions de dollars. Les fuites de données comptant de 50 à 65 millions de jeux de données se sont donc révélées presque 100 fois plus coûteuses que les situations impliquant seulement de 1 000 à 100 000 jeux de données.
Des pertes de marchés irrémédiables
Le principal facteur de coûts dans le cadre des violations de la protection des données aura été la perte de marchés, représentant en moyenne 1,59 million de dollars américains ou 38 % du total des coûts. Sont inclus dans ce chiffre entre autres une perte de clientèle accentuée, une perte de chiffre d’affaires en lien avec les temps d’arrêt du système de même qu’un impact sur la réputation, rendant plus onéreuse l’acquisition de nouveaux clients.
Le plus souvent, des données à caractères personnel ont été perdues, représentant la perte la plus chère s’élevant à 180 dollars par jeu de données perdu ou volé. Cette année, un jeu de données aura coûté en moyenne 161 dollars en comparaison avec 146 dollars par enregistrement perdu ou volé en 2020. Au demeurant, ce qui aura coûté le plus cher se trouve être les violations de données dans le secteur de la santé, représentant 9,23 millions de dollars, soit une augmentation de 2 millions de dollars par rapport à l’année précédente.
Représentant en moyenne 4,62 millions de dollars, les attaques de ransomwares se sont avérées particulièrement onéreuses, ayant touché à peine 8 % des entreprises. Ce chiffre comprend entre autres les frais en lien avec la signalisation progressive des problèmes, la notification, la perte de marchés et la réactivité, et exclut les éventuels versements de rançon (s’élevant, d’après une étude récente de Palo Alto Networks, à une moyenne de 570 000 de dollars au cours du premier semestre 2021, soit une augmentation totale de 82 % par rapport à la période équivalente de l’année précédente). Encore plus coûteuses que les ransomwares, avec un coût atteignant 4,69 millions de dollars : il s’agit d’attaques ayant provoqué la suppression immédiate de données ciblées.
Compromission des messageries commerciales et phishing : les plus grandes pertes financières
En ce qui concerne les vecteurs d’attaque initiaux, c’est la compromission des messageries commerciales qui s’est avérée la plus coûteuse, avec en moyenne une conséquence de 5,01 millions de dollars, représentant 4 % de l’ensemble des failles de sécurité des données et donc relativement rare. Les attaques de phishing auront été bien plus récurrentes, représentant 17 % et la deuxième catégorie la plus chère avec 4,65 millions de dollars.
Le fait que les attaques par e-mail deviennent si coûteuses souligne l’importance d’une solution de sécurité de messagerie la plus complète possible pour les entreprises. Un système performant de protection de l’infrastructure de messagerie critique pour l’entreprise, que ce soit sur site ou dans le cloud, s’avère donc indispensable, de même qu’un programme régulier de sensibilisation des utilisateurs encourageant la vigilance en particulier dans le cadre d’e-mails d’origine inconnue. La Retarus Secure Email Platform et ses services Retarus Email Security modulaires se voit actuellement attribuer les meilleures notes du Market Compass de KuppingerCole. Outre la catégorisation comme solution de communication complète, les analystes mettent en exergue plus particulièrement la conformité totale de la plateforme Retarus au RGPD.