C’est l’une des plus grandes menaces qui pèsent sur les entreprises. Et régulièrement spécialistes et analystes en cybersécurité se penchent sur cet épineux sujet.IBM a ainsi publié la 17ème édition de son rapport annuel sur le « Coût d’une violation des données ». Les informations qu’il contient ont à nouveau été collectées de manière indépendante par des analystes de marché de l’institut Ponemon. Plus de 3 600 sondages ont ainsi été réalisés auprès d’employés issus de 550 entreprises au sujet de violations de données survenues entre mars 2021 et mars 2022, dans 17 pays et répartis dans 17 secteurs différents.
Les coûts moyens d’une violation de données en 2022 s’élèvent selon les résultats de ces études à 4,35 millions de dollars, un record absolu correspondant à presque 3 % de plus que l’année précédente (2021 : 4,24 millions de dollars). En comparaison avec le rapport de l’année 2020 (3,86 millions de dollars), ces coûts ont déjà augmenté de 12,7 %. Par ailleurs, pour 60 % des entreprises interrogées, les coûts élevés dus à une ou plusieurs violations de données (plus d’une, dans 83 % des cas) se sont traduits par une augmentation des prix pour les clients.
Du côté des sociétés exploitant une infrastructure critique, les coûts moyens d’une violation de données sont encore plus élevés, à savoir 4,82 millions de dollars. Cela représente 1 million de dollars de plus que les coûts moyens pour les autres secteurs. Les secteurs exploitant une infrastructure critique incluent notamment les prestataires de services financiers, les secteurs industriel, technologique et énergétique, les domaines des transports, de la communication, de la santé et de l’éducation de même que les organismes publics. 27 % de ces entreprises ont enregistré une attaque destructive ou de ransomware. Et dans 17 % des cas, une fuite de données est survenue suite à la compromission d’un partenaire commercial.
Les attaques par phishing sont les plus onéreuses
Les données d’accès compromises ou dérobées constituent toujours et encore la cause de violation de données la plus répandue. Le sondage présente le phishing comme principal vecteur d’attaque avec une représentation de 19 % (20 % en 2021). Les frais ainsi occasionnés ont atteint en moyenne 4,5 millions de dollars. Dans le même temps, ces violations de données montraient les cycles de vie les plus longs. Il faut ainsi en moyenne 243 jours avant que la brèche ne soit détectée, puis 84 jours supplémentaires avant de pouvoir l’endiguer. La deuxième cause de violations de données la plus courante correspondait aux attaques de phishing (16 % des cas). Parallèlement, les violations par phishing sont celles qui coûtent le plus cher, avec un coût moyen de 4,91 millions de dollars. Des chiffres qui soulignent une fois de plus la nécessité de sécuriser techniquement le mieux possible la communication par e-mail, qui reste un point d’entrée critique pour les entreprises. Ce qu’elles peuvent par exemple réaliser à l’aide de la Secure Email Platform de Retarus et en sensibilisant inlassablement les employés.
L’une des dernières tendances en matière de cybersécurité se nomme l’architecture « zéro confiance » (Zero Trust). Selon les estimations, seules 41 % des entreprises ont mis en place une telle structure. Les chiffres parlent pourtant d’eux-mêmes : les utilisateurs d’architectures « zéro confiance » dépensent en moyenne 1 million de dollars de moins lors d’une violation de données que les 59 % qui n’en utilisent pas. Au sein des secteurs exploitant une infrastructure critique, on compte même 79 % d’utilisateurs sans aucun système Zero Trust. Une violation de données leur coûte en moyenne 5,4 millions de dollars, c’est-à-dire plus d’1 million de dollars de plus que la moyenne internationale.
Le télétravail : un risque financier non négligeable
Là où le télétravail a été identifié comme un élément contribuant à une violation de données, les coûts ont atteint en moyenne près d’1 million de dollars de plus que pour les violations sans lien avec le travail à distance, à savoir 4,99 millions de dollars contre 4,02 millions de dollars. Les violations de données en lien avec le télétravail coûtent en moyenne environ 600 000 dollars de plus que la moyenne internationale.
45 % des violations de données enregistrées dans le cadre de cette enquête se sont produites dans le cloud. Les violations de données survenues au sein d’environnements de cloud hybrides se sont avérées les moins coûteuses, représentant en moyenne 3,8 millions de dollars. Les coûts moyens dans des environnements de cloud privés et publics s’élevaient respectivement à 4,24 et à 5,02 millions de dollars. Concernant les utilisateurs de cloud hybride, non seulement les coûts se sont avérés moindres (27,6 % par rapport au cloud public), mais les cycles de vie des violations de données étaient également plus courts que chez les entreprises utilisant exclusivement un cloud privé ou public.
Les organisations de santé payent le plus lourd tribut
Compte-tenu du caractère particulièrement sensible des données dans ce secteur, il n’est guère surprenant que la santé publique soit, pour la douzième année consécutive, le secteur confronté aux violations les plus onéreuses. En moyenne, les coûts s’élevaient cette année à 10,1 millions de dollars, soit une augmentation de près d’1 million de dollars par rapport à l’année précédente et de 41,6 % par rapport aux chiffres de 2020. Le secteur financier figure sur la seconde place du podium en termes de coûts, avec 5,97 millions de dollars, suivi par le secteur pharmaceutique (5,01 millions de dollars), le secteur technologique (4,97 millions de dollars), et le secteur énergétique (4,72 millions de dollars).
Mais où les attaques sont-elles les plus ravageuses ? Aux États-Unis ! Ils ont enregistré les violations de données engendrant les frais les plus élevés, avec en moyenne 9,44 millions de dollars. Le Proche-Orient arrive en deuxième position (7,46 millions de dollars), suivi du Canada (5,64 millions de dollars), du Royaume-Uni (5,05 millions de dollars), et de l’Allemagne avec 4,85 millions de dollars. La « médaille » revient aux États-Unis pour la douzième année consécutive, exactement comme pour le secteur de la santé. La plus forte augmentation par rapport à l’année précédente revient au Brésil, où les coûts moyens d’une violation de données ont augmenté de 27,8 %, passant d’1,08 à 1,38 millions de dollars.
Si vous souhaitez aller plus loin sur le sujet, vous pouvez télécharger le nouveau rapport complet « Coût d’une violation des données » incluant de nombreuses informations supplémentaires et des bonnes pratiques en vous enregistrant sur le site Web d’IBM.