Rétro-scoop

Nouvelles du passé, compréhensions nouvelles :
Le coût des pertes de données informatiques a nettement augmenté pour les entreprises françaises

Les pertes ou les vols de données informatiques ont coûté en 2011 en moyenne 16% de plus que l’année précédente aux entreprises française, soit 2,55 millions d’euros. Cela s’explique principalement par la multiplication des attaques très ciblées, l’utilisation croissante des terminaux mobiles et les nouvelles réglementations. Selon l’étude « Cost of a Data Breach » du Ponemon Institute, commanditée par Symantec, le coût par donnée compromise passe de 98€ à 122€.

Selon l’étude de Symantec et du Ponemon Institute, le coût lié aux violations de données a augmenté de 34 % en deux ans, depuis la toute première étude du genre publiée en 2010. L’étude révèle également une constance dans les origines de ces violations, des tendances par secteur et des considérations organisationnelles permettant de réduire ces coûts. Les coûts de détection et d’information de ces données compromises augmentent également, en relation avec un environnement légal plus contraignant ainsi que le développement des technologies mobiles. Cette troisième étude annuelle consécutive du Ponemon Institute sur le sujet s’appuie sur les expériences de violations de données de 23 entreprises françaises représentant 10 secteurs d’activités différents.
« Nous constatons cette année encore une hausse des coûts des entreprises associés aux pertes de données », déclare Dr. Larry Ponemon, président et fondateur du Ponemon Institute. « Les organismes de réglementation font pression pour que les entreprises mettent en place les contrôles nécessaires pour la protection des données ou soient plus sévèrement sanctionnées. L’un des enseignements les plus intéressants de cette édition 2011 de l’étude est la corrélation entre la présence d’un RSSI dans les entreprises et les coûts moindres d’une violation de données. Face aux menaces internes et externes, malveillantes ou non, les entreprises doivent mettre en œuvre proactivement des stratégies, des ressources et des technologies permettant de réduire le risque de pertes de données coûteuses. »
Trois secteurs plus ciblés :
Les coûts engendrés par les vols ou les pertes varient selon les secteurs d’activité des entreprises interrogées. Si la taille de l’échantillon ne permet pas une généralisation des coûts par secteur, les tendances constatées lors des deux premières études se trouvent confirmées par la nouvelle édition du Cost of Data Breach. Les finances, les nouvelles technologies et les biens de consommations sont les secteurs où les coûts de violation de données sont les plus élevés.
Le
s attaques malveillantes ou criminelles restent la cause n°1 de la violation de données, dans 43 % des cas. Parmi ces attaques, on trouve les maliciels, les actes malintentionnés depuis l’intérieur, le vol de terminaux comportant des données. Il convient de noter également que les coûts relatifs à ce type de violations sont supérieurs à ceux imputables aux autres sources : 148€ par donnée compromise, soit nettement plus que la moyenne constatée. Autres causes de ces violations de données : la négligence, à 30 %, qu’elle soit le fait d’employés ou de sous-traitants, et les problèmes informatiques ou de process à 26 %.
Les conséquences commerciales des violations de données :
Le taux d’attrition des clients est passé de 4,1 % à 4,4 % en 2011, avec des secteurs comme les télécommunications et la finance qui ont constaté des taux plus importants.
Par ailleurs, les coûts relevant des pertes d’activité ou de contrats s’élèvent à eux seuls à 782,749 €, reflétant la nécessité, pour les entreprises, d’entreprendre des actions spécifiques pour acquérir de nouveaux clients et améliorer leur réputation.
Les facteurs augmentant le coût des violations de données :
Quand c’est une première fois, lorsque la réponse est rapide, lorsqu’un tiers est impliqué et… lorsque les données sont compromises sur un terminal perdu ou volé.
Certains facteurs contribuent à réduire le coût des violations de données. Recourir à un consultant externe en cas de données compromises peut réduire le coût, mais c’est la présence d’un Directeur de la sécurité de l’information (RSSI), chargé de la protection de l’information au sein de l’entreprise, qui permet de faire baisser les coûts liés aux violations de données de plus de la moitié (-63€ par donnée compromise).
la protection des données reste un défi pour les entreprises, notamment avec la multiplication des terminaux utilisés et la convergence de leurs utilisations personnelles et professionnelles », souligne Laurent Heslault, Directeur des Stratégies de Sécurité de Symantec en France. « Les entreprises doivent non seulement protéger les données partout où elles sont stockées ou utilisées, mais également développer une culture de la sécurité, avec des formations, des règles et des actions.
Les mesures prises par les entreprises :
Pour éviter et pallier ces infractions, les mesures prises sont toujours axées sur les contrôles manuels, les procédures et les programmes de sensibilisation, mais l’utilisation des technologies continue de gagner du terrain. En 2011, 43 % des personnes interrogées ont déployé des procédures et contrôles manuels supplémentaires contre 51 % l’an passé, et 48 % ont mis en place des programmes de formation et de sensibilisation (contre 44 % en 2010). Ce sont les mesures préventives prises suite à une violation de données qui ont la faveur des entreprises françaises : + 9 % pour le chiffrement (à 37 %), + 12 % pour le DLP (à 30 %), + 15 % pour des systèmes de monitoring de la sécurité et +7 % pour les solutions de sécurisation des terminaux.
Les pratiques à mettre en oeuvre :
Symantec recommande aux entreprises de mettre en œuvre plusieurs pratiques, qu’elles aient été ou non victimes de pertes de données :
– Évaluer les risques en identifiant et en classant les informations confidentielles
– Éduquer et responsabiliser le personnel en ce qui concerne la protection des données et les procédures à suivre
– Mettre en place des solutions de sécurité intégrées qui intègrent une approche de la sécurité basée sur la réputation, une protection proactive contre les menaces et une prévention contre les intrusions afin de maintenir les terminaux hors de portée des maliciels
– Déployer des technologies de prévention des pertes de données qui permettent l’application de règles de sécurité et de conformité
– Chiffrer proactivement les ordinateurs portables pour réduire les impacts de leur perte
– Mettre en place des solutions d’authentification forte
– Intégrer la protection des données aux processus métier
L’étude, réalisée indépendamment par le Ponemon Institute à la demande de Symantec, tient compte des divers coûts associés aux pertes de données, y compris des dépenses liées à la détection des incidents, leur qualification et hiérarchisation en interne, leur notification, ainsi qu’aux mesures prises a posteriori. Elle analyse également l’impact économique de la perte de confiance des clients, mesurée par le nombre de clients perdus.
Le rapport sur le coût des pertes de données en France résulte d’une analyse détaillée de 23 cas de pertes de données, représentant 11 secteurs d’activité. Ce rapport souligne le lien existant entre le nombre de fichiers perdus et le coût d’un incident.
Les entreprises peuvent analyser leurs risques avec le calculateur des risques de perte de données développé par Symantec. Reposant sur sept années de données sur les tendances, ce calculateur tient compte de la taille de l’entreprise, de son secteur d’activité, de sa situation géographique et de ses méthodes de sécurité pour estimer combien lui coûterait une perte de données, globalement et par fichier touché.
Source : ITRnews

Newsletter

Abonnez-vous pour suivre nos actualités :