Le coût moyen d’une brèche de données a diminué de 1,5 % en un an, coûtant aux entreprises 3,86 millions de dollars par incident, selon le rapport 2020 Cost of a Data Breach Report d’IBM. L’étude a analysé les données de 524 organisations, dans 17 pays et régions et opérant sur 17 secteurs. Chacune d’entre elles ayant subi une brèche de la sécurité durant l’année écoulée.

L’étude, menée par IBM Security et le Ponemon Institute, a ventilé les coûts par type d’enregistrements compromis : informations personnelles identifiables (IPI) des clients, IPI des employés et propriété intellectuelle (PI).

L’analyse a révélé que les données des clients étaient le type d’enregistrement le plus communément compromis, 80 % des organisations étudiées ayant déclaré que les IIP des clients étaient affectées. « Alors que le coût moyen par enregistrement perdu ou volé était de 146$ pour l’ensemble des brèches de données, celles contenant des IIP de clients coûtaient aux entreprises 150$ par enregistrement compromis », selon le rapport.

Cependant, les retombées financières ont aussi varié en fonction d’une série d’autres facteurs. Si la brèche a été causée par une attaque malveillante, le coût est passé à 175 $. En revanche, si l’incident a eu un impact sur les données anonymes des clients, le coût moyen était de 143 $, mais passait à 171 $ s’il résultait d’une attaque malveillante.

Or, elles sont à l’origine de la plupart des brèches (52 %). Suivies dans le classement par les failles du système (25 %) et les erreurs humaines (23 %). « Outre les informations d’identification volées ou compromises, les serveurs mal configurés sur le cloud forment les vecteurs de menace initiale les plus fréquents dans les brèches causées par des attaques malveillantes, avec 19 % », précise IBM.

La perte d’activité reste l’un des effets les plus coûteux d’une brèche de données, représentant près de 40 % du coût, passant lui de 1,42 million de dollars à 1,52 million en un an. Ce chiffre tient compte de l’augmentation du chiffre d’affaires des clients, de la perte de revenus et du coût plus élevé de l’acquisition de nouvelles affaires en raison d’une réputation ternie.

Par ailleurs, il existe une disparité entre les secteurs d’activité en ce qui concerne le « temps d’arrêt » (ou dwell time). Le secteur de la santé a le cycle de vie le plus long avec 329 jours, contre 233 jours sur le secteur financier. Sur les 17 secteurs étudiés, ce secteur représente également le coût moyen le plus élevé avec 7,13 millions de dollars par incident.

A savoir que les entreprises qui ont testé un plan de préparation à la réponse aux incidents ou qui emploient une équipe dédiée ont pu économiser en moyenne 2 millions de dollars par rapport aux entreprises qui n’ont ni l’un ni l’autre.

Les États-Unis restent en tête de peloton en matière de coûts liés aux brèches de données, avec un coût moyen de 8,64 millions de dollars par incident, suivis de près par le Moyen-Orient, avec un coût de 6,52 millions par brèche. Et si la plupart des brèches malveillantes sont le fait de cybercriminels à motivation financière (53 %), les brèches présumées comme étant parrainées par des gouvernements (13 %) sont considérées comme les plus coûteuses, avec un coût moyen de 4,43 millions de dollars US.

À retenir :

Les brèches de données peuvent coûter plusieurs millions de dollars aux entreprises victimes de cyber-attaques. Le coût est majoritairement expliqué par une perte d’activité suite à l’attaque. Mais ce coût diffère selon les pays et les secteurs d’activité. Élaborer en amont un plan de préparation à la réponse aux incidents reste le meilleur moyen pour limiter la perte financière en cas de cyber-attaque.

Abonnez-vous
à la formule intégrale !

Papier + numérique

Le magazine + l’édition digitale sur ordinateur, mobile et tablette