Le coût moyen d’une brèche de données a diminué de 1,5 % d’une année sur l’autre, coûtant aux entreprises 3,86 millions de dollars US par incident, selon le rapport 2020 Cost of a Data Breach Report d’IBM. L’étude annuelle a analysé les données de 524 entreprises qui, bien qu’étant basées dans 17 pays et régions et opérant dans 17 secteurs d’activité, ont un point en commun : chacune d’entre elles a subi une brèche de la sécurité au cours de l’année écoulée.
Pour la première fois cette année, l’étude, menée par IBM Security et le Ponemon Institute, a ventilé les coûts par type d’enregistrement compromis, qui comprennent les informations personnelles identifiables (IPI) des clients, les IPI des employés et la propriété intellectuelle (PI).
L’analyse a révélé que les données des clients étaient de loin le type d’enregistrement le plus communément compromis, 80 % des organisations victime d’une brèche ayant déclaré que les IPI des clients étaient affectées. « Alors que le coût moyen par enregistrement perdu ou volé était de 146 dollars pour l’ensemble des brèches de données, celles contenant des IPI de clients coûtaient aux entreprises 150 dollars par enregistrement compromis », indique le rapport.
Cependant, les retombées financières ont également varié en fonction d’une série d’autres facteurs. Par exemple, si la brèche a été causée par une attaque malveillante, le coût est passé à 175 $ US. En revanche, si l’incident a eu un impact sur les données anonymes des clients, le coût moyen était de 143 $ US, mais passait à 171 $ US s’il résultait d’une attaque malveillante.
Les attaques malveillantes étaient à l’origine de la plupart des brèches (52 %), les failles du système (25 %) et les erreurs humaines (23 %) arrivant en deuxième et troisième position, respectivement. « Outre les informations d’identification volées ou compromises, les serveurs mal configurés sur le cloud forment les vecteurs de menace initiale les plus fréquents dans les brèches causées par des attaques malveillantes, avec 19 % », précise IBM.
La perte d’activité reste l’un des effets les plus coûteux d’une brèche de données, représentant près de 40 % du coût et le coût passant de 1,42 million de dollars l’année dernière à 1,52 million de dollars. Ce chiffre tient compte de l’augmentation du chiffre d’affaires des clients, de la perte de revenus et du coût plus élevé de l’acquisition de nouvelles affaires en raison d’une réputation ternie.
La durée de vie moyenne d’une brèche de données était de 280 jours, dont 207 jours pour identifier la brèche et 73 jours supplémentaires pour la contenir. Ces chiffres sont restés largement inchangés par rapport à l’année précédente.
Par ailleurs, il existe une disparité entre les secteurs d’activité en ce qui concerne la durée du cycle de vie, également appelée « temps d’arrêt » (ou dwell time). Le secteur des soins de santé a le cycle de vie le plus long avec 329 jours, tandis que le secteur financier n’a un cycle que de 233 jours. Sur les 17 secteurs étudiés, les soins de santé représentent également le coût moyen le plus élevé avec 7,13 millions de dollars US par incident, ce qui leur permet de conserver leur position de leader pour la dixième année consécutive.
Il convient de mentionner que les entreprises qui ont testé un plan de préparation à la réponse aux incidents (RI) ou qui emploient une équipe de RI ont pu économiser en moyenne 2 millions de dollars US par rapport aux entreprises qui n’ont ni l’un ni l’autre.
Les États-Unis restent en tête de peloton en matière de coûts liés aux brèches de données, avec un coût moyen de 8,64 millions de dollars US par incident, suivis de près par le Moyen-Orient, avec un coût de 6,52 millions de dollars US par brèche. Et si la plupart des brèches malveillantes sont le fait de cybercriminels à motivation financière (53 %), les brèches présumées comme étant soutenues par des gouvernements (13 %) sont considérées comme les plus coûteuses, avec un coût moyen de 4,43 millions de dollars US.
Par Amer OWAIDA, security writer chez ESET