Martin DebrunneLes violations de données coûtent de plus en plus cher aux entreprises. D’après une récente étude IBM, ce type d’attaque reviendrait en moyenne à 3,86 millions de dollars, soit +6,4% en un an. Le montant des dégâts s’envole avec la quantité de données dérobées.
Les cyberattaques pèsent sur les comptes des entreprises. IBM a publié ce lundi 30 juillet le rapport 2018 « Cost of a data breach study ». En partenariat avec le Ponemon Institute , le géant de l’informatique a évalué l’impact financier complet d’une violation de données. Ce type d’accident revient en moyenne à 3,86 millions de dollars, soit +6,4% en un an.
Plusieurs facteurs à évaluer
Les chercheurs ont mené des entretiens approfondis avec 500 entreprises. Objectif, déterminer « le coût moyen de chaque dossier perdu ou volé contenant de l’information sensible et confidentielle ». Ce montant s’établit à 148 dollars, c’est-à-dire environ 127 euros par fichier volé. Ce coût moyen a augmenté de +4,8% en l’espace d’un an.
Les analystes ont mesuré les coûts opérationnels, mais aussi l’impact en termes de réputation. Une cyberattaque se traduit par une « rotation de la clientèle », et une perte de chiffre d’affaires. Il faut en moyenne 167 jours pour détecter une attaque informatique, et 69 jours pour la contenir. Pour limiter les frais, l’entreprise doit viser un délai inférieur à 30 jours.
Le cas des fuites massives
Les vols de données très médiatisés se calculent souvent en millions. « Ces chiffres sont très variables et souvent concentrés sur quelques coûts spécifiques », relève Wendi Whitmore, responsable mondiale d’IBM X-Force Incident Response and Intelligence Services (IRIS). Une « méga-violation » ou fuite massive de données coûte entre 40 et 350 millions de dollars.
Dans le cadre d’une « méga-violation », les pirates détournent entre 1 et 50 millions d’enregistrements. Ces cinq dernières années, le nombre de « méga-violations » a presque doublé. Elles étaient 9 en 2013, puis sont passées à 16 l’année dernière. Pour détecter et contenir ce type d’attaque, il faut en moyenne 365 jours… Peut mieux faire.
