Combien coûte une perte de données à une entreprise Française ?

bizn

Symantec et le Ponemon Institute publient aujourd’hui l’édition 2013 de l’étude Cost of Data Breach: France, selon laquelle le coût lié aux violations de données en France a augmenté de 11% en 2012, pour s’établir à 2,86 millions d’euros, contre 2,55 millions d’euros en 2011. Le coût moyen par donnée compromise [1] s’élève à 127 € en 2012, contre 122€ en 2011, soit une augmentation de 4,1 %.

Cette 4ème étude consécutive du Ponemon Institute s’appuie sur les expériences de violations de données de 26 entreprises françaises interrogées pour la première fois. Elles représentent 10 secteurs d’activités différents. Depuis la création de la première étude hexagonale en 2010, ce sont 87 entreprises françaises qui ont été interrogées.

 

Pour pouvoir opérer un suivi correct des tendances, le Ponemon Institute n’a pas tenu compte des « méga violations de données » (plus de 100 000 enregistrements compromis).  Cette enquête est conduite dans 9 pays au total : Allemagne, Australie, Brésil, Etats-Unis, France, Inde, Italie, Japon et Royaume-Uni.

Points clés de l’étude :

  • Pour la 4ème année consécutive, le coût des violations de données a augmenté en France.
  • Il est passé de 2,55 M€ en 2011 à 2,86 M€ en 2012, en augmentation de 11 %. Le coût moyen par donnée compromise est quant à lui passé de 122€ à 127€. En moyenne, 22 242 données sont compromises par incident.

Les attaques malveillantes et criminelles restent la première cause de la violation de données en France (42 % des cas).

  • De plus, les coûts relatifs à ce type de violations sont bien supérieurs à ceux imputables aux autres sources : 142€ par donnée compromise. La négligence humaine, qu’elle soit le fait d’employés ou de sous-traitants, représente 31 % des violations de données (116€ par donnée compromise) et les erreurs système : 27 % (118€ par donnée compromise).
  •  En France, la tendance se rapproche de celles observées aux Etats-Unis, au Japon et en Allemagne : les cyber-attaques sont clairement la première cause de violation de données, suivies par les erreurs humaines. Ces erreurs incluent un mauvais traitement des données confidentielles par les employés, un manque de contrôle, et un non-respect des réglementations publiques et sectorielles. Les coûts par donnée compromise sont les plus élevés  dans les secteurs des biens de consommation, l’industrie, la pharmacie et la finance, de coûts qui peuvent être jusqu’à 70% plus élevés.
  • Les conséquences commerciales des violations de données :
  • le taux d’attrition des clients observé en France est le plus élevé des 9 pays audités. Le taux est resté identique entre 2011 et 2012, à 4,4 % ; avec des secteurs comme les institutions financières et les prestataires de service qui ont constaté des taux plus importants.
  • En outre, les coûts relevant des pertes d’activité ou de contrats (perte de client, difficulté à en acquérir de nouveaux ou problème de réputation) sont en fort augmentation, passant de 0,78 M€ en 2011 à 1,19 M€ en 2012. C’est le chiffre le plus élevée jamais observé en France depuis la première édition du Cost of Data Breach, en 2010.
  • Certains facteurs contribuent à réduire le coût des violations de données.
  • Certaines organisations sont parvenues à enregistrer la plus forte baisse des coûts de violation de donnéesen renforçant leur politique de sécurité, en mettant en place un programme de lutte contre les incidents, en nommant un RSSI et après l’embauche de consultants dédiés aux problèmes de violation de données.
  • D’autres facteurs contribuent à augmenter le coût des violations de données.
  • Les erreurs imputables à un tiers, les incidents relatifs à la perte ou au vol d’un terminal mobile, et la notification rapide des violations de données aux victimes sont les principales sources de hausse des coûts de violation de données dans les organisations.

Les meilleures pratiques pour prévenir les violations de données et réduire leur coût sont les suivantes :

  1. Sensibiliser les employés et les former au traitement des données confidentielles
  2. Déployer des technologies de prévention de pertes de données pour identifier les données sensibles et empêcher leur fuite hors de l’entreprise
  3. Déployer des solutions de chiffrement et d’authentification forte
  4. Élaborer un plan de lutte contre les incidents avec, entre autres, des mesures de notification aux clients.

Infographie

[1] Le Ponemon Institute considère comme données clients ou consommateurs (y compris les informations liées aux transactions de paiement), les dossiers des employés, les données liées aux citoyens, patients et étudiants. Le coût moyen par données compromises est calculé selon les dépenses directes ou indirectes des entreprises et organisations.