Tout récit sur la cybersécurité en 2020 va naturellement se concentrer sur la pandémie COVID-19. Cette crise unique en son genre et la transformation numérique qu'elle a accélérée ont à la fois élargi les surfaces d'attaque des entreprises et détourné les ressources et l'attention de projets de sécurité vitaux. Ainsi, lorsque nous examinons l'étude IBM Cost of a Data Breach Report 2021, qui révèle que les coûts des violations de données n'ont jamais été aussi élevés, il est tentant de mettre tout cela sur le compte de COVID-19. Mais ce n'est pas tout.
À l'exception de l'année 2020, les coûts des violations de données sont en hausse depuis plusieurs années. Bien que l'ampleur de l'augmentation de l'année dernière ait été exceptionnelle, il est clair que malgré des dépenses plus importantes que jamais en matière de sécurité, de nombreuses organisations n'obtiennent toujours pas les résultats escomptés.
Les brèches de données en 2020
Le rapport, qui en est à sa 17e édition, fournit des informations utiles sur la manière dont les entreprises parviennent à détecter, contenir et corriger les incidents, car plus une violation reste longtemps non détectée, plus elle coûte cher. Ces coûts sont imputés à quatre domaines clés :
La détection et l'escalade - y compris la criminalistique, l'audit, la gestion de crise et la communication.
Perte d'activité - y compris les temps d'arrêt des systèmes, l'interruption des activités, la perte de clients et l'atteinte à la réputation. Ces éléments ont représenté la part la plus importante (38 %) des coûts liés aux violations cette année.
Notification - aux personnes concernées, aux autorités de réglementation et aux experts extérieurs.
Les interventions post-violation - y compris les problèmes de service d'assistance, la surveillance du crédit des clients, l'émission de nouveaux comptes/cartes de crédit, les frais juridiques, les remises sur les produits et les amendes réglementaires.
Au total, les coûts liés à la violation de données sont passés de 3,86 millions de dollars US dans le rapport de l'année dernière à 4,24 millions de dollars US cette année, soit une augmentation de 10 %. Quant aux « méga brèches » comportant entre 50 et 65 millions d'enregistrements, leur coût moyen s’élevait à 401 millions de dollars US, soit une augmentation plus modeste de 2 % par rapport aux 392 millions de dollars US de 2020.
Le vol d'identifiants d'utilisateurs était la cause la plus fréquente des brèches dans l'étude, tandis que les données personnelles des clients (y compris les mots de passe et les noms) étaient le type le plus courant de données exposées dans ces incidents, présentes dans 44 % des brèches. Il n'est pas difficile de voir la corrélation : comme de plus en plus d'utilisateurs partagent et réutilisent des mots de passe sur plusieurs comptes, un cercle vicieux commence à se former où les données violées sont utilisées à leur tour pour faciliter davantage d'intrusions et de vols de données
La pandémie a effectivement joué un rôle
Il ne fait absolument aucun doute que la pandémie a joué un rôle majeur dans la forte augmentation des coûts des violations à partir de 2020-21. Des terminaux de travail à distance non sécurisés, des travailleurs à domicile distraits, un personnel informatique préoccupé et une infrastructure de travail à distance non patchée ou mal configurée ont conduit à une augmentation des brèches et ont pu faire grimper les coûts de ces incidents. Près de 20 % des organisations étudiées dans le rapport ont déclaré que le travail à distance était un facteur de violation. Ces incidents ont coûté 4,96 millions de dollars US, soit près de 15 % de plus que la moyenne.
Il est également vrai que le secteur des soins de santé est celui dont les coûts de violation sont de loin les plus élevés. Ceux-ci ont augmenté à un rythme encore plus élevé que la moyenne au cours de l'année écoulée. Les coûts sont passés d'une moyenne de 7,13 millions de dollars US en 2020 à 9,23 millions de dollars US en 2021, soit une hausse de 29,5 %. Ce n'est pas une coïncidence si les organismes de santé (HCO) ont été parmi les plus touchés par les cyberattaques pendant la pandémie.
Vision d’ensemble
Cependant, la vérité est que les coûts des brèches étaient en hausse depuis 2017, avant un léger fléchissement en 2020. Les coûts des méga-bris ont également augmenté régulièrement au cours des trois dernières années et n'ont pas connu de pic majeur à partir de 2020-21. Pourquoi ? L'un des principaux facteurs est que les organisations ne s'améliorent pas en matière de détection et de réponse. En 2021, il fallait en moyenne 287 jours pour identifier et contenir une violation de données, soit une semaine entière de plus que dans le rapport précédent. Ce chiffre est également en hausse continue depuis 2017, et ne peut donc pas simplement s'expliquer par la pandémie, même si l'explosion des terminaux de travail à distance a pu rendre les menaces plus difficiles à découvrir.
Pour simplifier, plus longtemps un acteur malveillant parvient à opérer sans contrôle à l'intérieur d'un réseau victime, plus il peut faire de dégâts et plus il faudra de temps et d'argent pour le mettre dehors et le remédier.
Les rançongiciels constituent un autre facteur contribuant à l'augmentation des coûts des violations et, là aussi, la tendance de ces dernières années est à l'augmentation du volume des menaces, et pas seulement l'année dernière. Les techniques secrètes de déplacement latéral à l'aide d'outils légitimes augmentent les taux de réussite des malfaiteurs. Les attaques par rançongiciel ont coûté en moyenne 4,62 millions de dollars US cette année, soit plus que la moyenne des brèches de données.
Enfin, on peut se tourner vers les arnaques au Président, ou BEC, qui ont entrainé des pertes financières plus importantes en 2020 que toute autre menace, selon le FBI. Le coût moyen d'une attaque BEC est de 5,01 millions de dollars US, selon une étude du Ponemon Institute. À moins que les organisations ne trouvent un meilleur moyen de prévenir le hameçonnage et de repérer les cas d'escroquerie, les coûts des brèches liées aux BEC continueront d'augmenter.
Comment réduire les coûts des atteintes à la vie privée
Le rapport contient de nombreuses informations que les entreprises et leurs responsables de la sécurité peuvent utiliser de manière proactive pour réduire les violations et les coûts associés. Comme on pouvait s'y attendre, les coûts étaient beaucoup plus faibles pour les entreprises dont le dispositif de sécurité était plus avancé. Mais comment y parvenir ? Voici quelques conseils et suggestions :
- Adoptez l’approche Zéro Trust. Le coût moyen des violations pour ceux qui n'ont pas adopté la confiance zéro était de 5,04 millions de dollars, contre 3,28 millions de dollars pour ceux qui ont atteint un stade avancé de déploiement de la confiance zéro.
- Implantez le chiffrement de vos données les plus sensibles. Le coût moyen d'une violation sans chiffrement était de 4,87 millions de dollars US contre 3,62 millions de dollars US avec chiffrement.
- Déployez des outils pour surveiller et sécuriser à distance tous les terminaux, y compris les travailleurs à domicile.
- Améliorez la formation et la sensibilisation de tous les employés pour mieux repérer les attaques de hameçonnage.
- Optimiser la détection et la réponse à l'aide d'outils tels que l'EDR.
- Élaborez et testez régulièrement des plans complets de réponse aux incidents pour réagir rapidement aux brèches de sécurité.
La pandémie a changé à jamais le mode de fonctionnement des entreprises et a remodelé le paysage des menaces. Pour éviter que le nombre de violations et leurs coûts ne continuent à augmenter dans les années à venir, les entreprises doivent s'adapter à la nouvelle réalité en mettant à jour leur dispositif de sécurité.