Lorsque nous parlons de violations de données, il est courant de ne faire référence qu'aux "dossiers" qui ont été exposés. Le problème est que si nous ne tenons pas compte du coût des violations de données, nous manquons de contexte. Après tout, il n'y a guère d'illustration plus claire de l'impact sur les entreprises que l'ampleur de l'impact sur les résultats.
Dans cet article, nous allons examiner :
- Pourquoi les violations de données se produisent.
- Principaux facteurs qui déterminent le coût des violations de données.
- Coût moyen d'une violation de données.
- Exemples de violations de données en 2020 et 2021.
- Combien ces violations de données ont pu coûter.
- Ce que votre organisation peut faire pour atténuer l'impact.
(Si vous manquez de temps, il y a un résumé en fin d'article)
Pourquoi les violations de données se produisent-elles ?
Il existe trois grandes catégories de causes de violation des données : l' erreur humaine, les attaques malveillantes et les défaillances du système.
Mais, grâce à un rapport d'IBM Security sur les coûts des violations de données, nous pouvons constater que le côté technique des choses est rarement entièrement à blâmer. Non, dans 75 % des cas, c'est la partie physique qui utilise la technologie qui est en cause. Soit par une erreur humaine, soit par une forme d'attaque malveillante.
Source : Rapport 2020 sur le coût des violations de données, IBM Security.
Si l'on examine de plus près la catégorie des attaques malveillantes, on constate que les configurations douteuses du cloud et les mots de passe faibles ont une grande part de responsabilité. Ces deux facteurs peuvent être atténués par une formation régulière à la sécurité et une politique de sécurité efficace.
Source : Rapport 2020 sur le coût des violations de données, IBM Security.
La complexité des systèmes de sécurité modernes a sans aucun doute entraîné une augmentation des défis auxquels sont confrontées les équipes de sécurité. Comme les différentes parties de l'organisation doivent utiliser davantage de logiciels externes, cela ouvre un autre vecteur de menace contre lequel il faut se protéger. Il est également difficile d'ignorer les attaques de phishing comme vecteur de menace potentiel, puisqu'elles représentent 14 % des violations de données malveillantes.
Calculer le coût des violations de données
De nombreux facteurs doivent être pris en compte pour essayer de déterminer le coût probable d'une violation de données, mais, fondamentalement, nous pouvons le décomposer en quatre centres de coûts clés :
- Détection et remontée: il s'agit de tout ce que fait une entreprise pour détecter une violation, comme les services d'audit, par exemple.
- Notification: une fois qu'une organisation a compris qu'il y a un problème, elle doit communiquer non seulement avec les personnes concernées, mais aussi avec les régulateurs, les experts juridiques et les consultants en réglementation.
- Perte d'activité: selon la nature de la violation, une organisation peut subir des temps d'arrêt qui affectent ses revenus, puis, à plus long terme, elle devra faire face à l'atteinte à sa marque.
- Réponse a posteriori : une fois que la violation s'est produite et que les utilisateurs concernés ont été informés, vient l'afflux de demandes de renseignements, les frais de justice potentiels, les amendes, et peut-être des offres et des réductions pour restaurer un peu de cette bonne volonté ternie.
En plus de ces principaux centres de coûts, il existe quelques autres facteurs que nous pouvons prendre en compte. Par exemple, le coût par dossier varie selon le pays et le secteur, les dossiers médicaux américains étant les plus coûteux.
Ensuite, il y a le type de données lui-même. Les informations personnelles identifiables des clients sont les plus coûteuses et de loin le type de données le plus compromis. Mais dans l'ensemble, nous pouvons constater que le coût moyen par enregistrement pour les violations de données de petite à grande envergure s'élève à 146 dollars.
Source : Rapport 2020 sur le coût des violations de données, IBM Security.
Nous disons "de petit à grand" parce qu'il y a un autre facteur de coût, basé sur l'échelle :
La redoutable "méga brèche".
Toute violation impliquant plus d'un million d'enregistrements est définie comme une méga-brisure ; elle représente le pire scénario possible pour les organisations concernées. Ce sont également les brèches dont nous entendons le plus parler, simplement parce qu'elles sont très importantes.
Source : Rapport 2020 sur le coût des violations de données, IBM Security.
Étant donné leur ampleur, elles doivent également être analysées séparément des brèches de petite et grande envergure, sinon elles finissent par fausser les chiffres.
Les récentes violations de données et leur coût
Sur la base des chiffres ci-dessus, nous pouvons estimer combien certaines des violations de données les plus médiatisées ont coûté à ces entreprises.
Dans le désordre, voici un aperçu de quelques-unes des violations de données les plus importantes survenues au cours des douze derniers mois environ, ainsi que de leur coût.
533 millions - Facebook, 03 avril 2021
Coût estimé : 3,7 milliards de dollars
Type de données exposées : numéros de téléphone, date de naissance, lieux (y compris les données historiques), nom complet, certaines adresses électroniques.
Au début du mois d'avril 2021, il est apparu que les informations personnelles de plus d'un demi-milliard d' utilisateurs de Facebook avaient été divulguées. Facebook a refusé d'informer les utilisateurs concernés (peut-être par souci d'économie, car nous savons que la notification et la réponse a posteriori sont deux des principaux centres de coûts) après que leurs données ont été extraites en exploitant une vulnérabilité dans une fonctionnalité désormais obsolète.
250 millions - Microsoft, 22 janvier 2020
Coût estimé : 1,8 milliard de dollars
Type de données exposées : adresses électroniques, adresses IP, journaux de discussion.
L'année 2020 était à peine entamée que Microsoft annonçait une violation majeure. Bien qu'ils n'aient pas donné de chiffres, les estimations évaluent à 250 millions le nombre d'enregistrements exposés. Ces enregistrements contenaient des adresses électroniques et IP, ainsi que des journaux de discussion entre le personnel d'assistance et les clients. Microsoft a admis que cette violation était le résultat d'une "mauvaise configuration d'une base de données interne de support client".
9 millions - EasyJet, 12 mai 2020
Coût estimé : 50 millions de dollars
Type de données exposées : cartes de crédit et de débit
En mai 2020, EasyJet a annoncé que 9 millions de dossiers clients avaient été "consultés" dans ce qu'elle a décrit comme une "cyberattaque très sophistiquée". Cette attaque est survenue à un mauvais moment pour EasyJet, alors que l'impact de la pandémie commençait à se faire sentir et impliquait des données de cartes de crédit. Elle a également conduit 10 000 personnes à se joindre à une action en justice contre EasyJet. Selon l'issue de cette affaire, l'estimation de 50 millions de dollars pourrait se transformer en milliards, puisque chacune des victimes pourrait avoir droit à 2 500 dollars.
5,2 millions - Marriott, 31 mars 2020
Coût estimé : 50 millions de dollars
Type de données exposées : noms, adresses, certains téléphones et courriels.
Le léviathan de l'hôtellerie, Marriott, a révélé que 5,2 millions de clients avaient vu leurs données exposées après que des pirates aient obtenu les données de connexion de deux employés. Cela s'ajoute à une violation antérieure en 2018, lorsqu'une des filiales de Marriott a été piratée, révélant des millions de numéros de passeport et d'enregistrements de cartes de crédit non cryptés.
Que peut faire votre organisation pour atténuer l'impact ?
Il est évident que les organisations de toutes formes et de toutes tailles ne sont pas totalement à l'abri. Qu'il s'agisse de négligence ou de malveillance, lorsque des personnes interagissent avec des machines, il y a toujours des points faibles.
Vous aurez également des personnes désireuses et capables d'exploiter ces points faibles.
Tout n'est pas si sombre, cependant, car il y a beaucoup de choses que votre organisation peut commencer à faire dès maintenant pour réduire la probabilité d'une violation de données.
Source : Rapport 2020 sur le coût des violations de données, IBM Security.
- Test de réponse aux incidents: Savoir quoi faire lorsque le pire se produit peut permettre à votre organisation d'économiser plus de 230 000 dollars. Les outils de gestion des incidents vous aident à rassembler toutes les pièces mobiles, en vous donnant une vue d'ensemble du cycle de vie d'un incident lorsqu'il se produit. Mais il est également essentiel que vous mettiez tout cela à l'épreuve en simulant des attaques. L'équipe informatique n'est pas la seule à devoir participer aux tests. Tout le monde, des vendeurs au personnel d'assistance, doit être impliqué. D'autant plus que les menaces telles que le phishing et les ransomwares sont en constante évolution. 96 % des violations de données ont pour origine le courrier électronique, mais la simulation d'attaques de phishing pour préparer votre équipe ne doit pas nécessairement être coûteuse ou prendre du temps.
- Formation à la sensibilisation à la sécurité : L'augmentation du travail à distance a ajouté une autre couche de vulnérabilité, car les employés utilisent des appareils et des connexions potentiellement non sécurisés pour accéder à des données sensibles. Ainsi, aujourd'hui plus que jamais, la formation des employés à la cybersécurité a le potentiel de réduire les risques (et les coûts potentiels) des violations de données.
- Un cryptage poussé : De nombreuses violations de données très médiatisées ont impliqué des cas où des données sensibles ont été stockées dans des fichiers non cryptés, les mots de passe et les données de cartes de crédit restant parfois là, non hachés, en clair. La mise en place d'un système de cryptage à l'échelle de l'entreprise peut avoir un impact considérable, mais il faut pour cela que vos employés soient au courant. Ce qui nous amène à la solution suivante.
- Gestion des politiques : Pour que des solutions comme le cryptage fonctionnent, vous devez mettre en place une politique de cybersécurité efficace et, surtout, vous assurer que chacun sait ce qu'il est censé faire. Les approches traditionnelles de la gestion de la politique impliquent souvent que les RH doivent courir après les membres de l'équipe et leur envoyer des courriels de plus en plus irritants pour leur demander s'ils ont lu et compris la nouvelle politique de cybersécurité. Et, si ledit membre de l'équipe l'a lu, peut-il le signer et le renvoyer ? S'il vous plaît ? En déployant une plateforme de gestion de la politique de cybersécurité, votre organisation peut repérer les lacunes dans les connaissances du personnel et les insuffisances de la politique, et réduire au minimum les coûts des violations de données.
TL;DR
- Elles peuvent être extrêmement coûteuses: au niveau mondial, les violations de données coûtent aux organisations, en moyenne, 2,8 millions de livres sterling par violation.
- La plupart des violations de données sont malveillantes : plus de la moitié des violations de données sont le résultat d'une activité malveillante quelconque.
- Comme le dit toujours maman, "la préparation et la planification préalables permettent d'éviter les mauvaises performances" : Le fait de disposer d'une équipe de réponse aux incidents, de tester votre plan de réponse aux incidents, d'utiliser le cryptage et d'éduquer vos utilisateurs a un impact considérable.
