Le coût moyen d'une atteinte à la protection des données a augmenté de 12 % au cours des cinq dernières années pour atteindre 3,92 millions de dollars américains à l'échelle mondiale, selon l'étude Cost of a Data Breach 2019 d'IBM, qui s'appuie sur les observations de plus de 500 entreprises à travers le monde ayant subi une atteinte à leurs données au cours de la dernière année.
L'impact financier croissant a été attribué à un trio de facteurs - les retombées financières pluriannuelles des infractions, l'augmentation de la réglementation et la complexité de la résolution des attaques criminelles.
Le rapport arrive à un moment où plusieurs entreprises sont confrontées à la perspective de lourdes factures pour des cyber-incidents massifs. Cela comprend Equifax aux États-Unis et British Airways et Marriot Starwood au Royaume-Uni.
Pour une première fois cette année, l'étude d'IBM Security et du Ponemon Institute s'est également penchée sur les répercussions financières à long terme des atteintes. Elle a constaté que, bien que l'entreprise compromise supporte généralement le poids financier de l'incident au cours de la première année suivant sa survenance, cela ne signifie pas que ses problèmes s’arrêtent là.
Bien qu'en moyenne 67 % des coûts liés aux atteintes à la protection des données aient été engagés au cours de la première année suivant une atteinte à la protection des données, 22 % se sont accumulés au cours de la deuxième année et 11 %, plus de deux ans après une atteinte. Les coûts à long terme ont été plus élevés au cours des deuxième et troisième années pour les organisations dans des environnements hautement réglementés, tels que les soins de santé, les services financiers, l'énergie et les produits pharmaceutique », précise le communiqué de presse.
Entre autres constatations, le rapport souligne que dans un certain nombre de scénarios, les conséquences financières peuvent grimper encore plus haut.
Premièrement, les incidents tendent à être plus coûteux pour les entreprises qui ont subi des violations commises par des acteurs malveillants, par opposition aux incidents causés par des erreurs humaines ou des problèmes de système. Les atteintes malveillantes n'ont pas seulement représenté plus de la moitié des incidents à l'étude, mais elles ont également coûté 1 million de dollars américains de plus que les atteintes par inadvertance (4,45 millions de dollars américains contre 3,5 millions).
De plus, pour les entreprises établies aux États-Unis, le coût moyen d'une brèche a grimpé jusqu'à 8,19 millions de dollars américains, ayant augmenté de 130 % au cours des 14 dernières années.
Généralement, les atteintes à la vie privée pèsent particulièrement lourdement sur les organismes de soins de santé, qui ont enregistré le coût le plus élevé (6,5 millions $ américains) et se classent en tête de liste pour la neuvième année de suite.
Quelle que soit l'industrie, cependant, une atteinte à la protection des données peut être dévastatrice pour une petite et même une moyenne entreprise. L'étude a révélé que les entreprises comptant moins de 500 employés ont subi des pertes de plus de 2,5 millions de dollars américains en moyenne. Pour mettre cela en perspective, les petites entreprises gagnent généralement 50 millions de dollars ou moins en revenus annuels.
Le cycle de vie moyen d'une brèche était de 279 jours. Plus précisément, il a fallu en moyenne 206 jours aux entreprises pour repérer l'incident et 73 autres jours pour le contenir. Lorsqu'il s'agit uniquement de violations malveillantes, il a fallu encore plus de temps - 314 jours.
« Les entreprises de l'étude qui ont été en mesure de détecter et de contenir une brèche en moins de 200 jours ont subi des coûts inférieurs de 1,2 million de dollars américains sur le coût total d'une brèche, » selon le rapport. Elle a décrit une foule d'autres facteurs qui ont influé sur les retombées financières, notamment le nombre d'enregistrements de données perdus, la question de savoir si l'atteinte provenait d'un tiers et si l'entreprise avait fait un usage intensif du chiffrement.
Dans cet excellent article publié l'année dernière, Lysa Myers, chercheuse en sécurité d’ESET, a expliqué comment se préparer au pire peut aider les entreprises à prévenir de tels incidents.