4,35 millions de dollars, soit environ 4,27 millions d'euros. C'est le coût moyen des 550 fuites de données étudiées dans le rapport annuel d'IBM Security, un nouveau record en 17 éditions du rapport, qui marque une augmentation de 2,7% par rapport à 2021 et de 12,7% par rapport à 2020.
Pour aboutir à ce montant, les chercheurs additionnent le coût de la détection de la fuite, celui de la notification aux autorités et aux victimes, celui de la réponse à incident, et enfin une estimation du chiffre d'affaires perdu, lié à l'arrêt temporaire d'activité et à la perte de réputation. De quoi motiver les entreprises qui hésitent à investir dans leur cybersécurité à le faire, pour éviter ce genre d'incidents ou du moins en réduire les conséquences.
60% des entreprises répercutent les coûts de la fuite sur leurs prix
Le rapport d'IBM s'intéresse aux fuites les plus graves, celles qui portent sur les données bancaires ou médicales. Ces deux types de données personnelles sont considérées comme sensibles, ce qui soumet leur stockage et leur traitement à des conditions de sécurité particulièrement élevées -et donc à un coût plus important. Les fuites étudiées contiennent toutes moins de 102.000 entrées, ce qui en fait des fuites moyennes, loin des "méga-fuites" à plus d'un million d'entrées.
19% des incidents font suite à l'utilisation d'identifiants compromis ou volés, qui reste la principale source de fuite, légèrement devant le phishing [l'envoi d'emails piégés]. Le rapport rappelle également que les fuites de données sont des incidents lourds, avec en moyenne 207 jours pour identifier où le système a failli, suivi de 70 jours pour le réparer et contenir la fuite.
Dans son édition 2022, le rapport dégage deux nouvelles tendances inquiétantes : 83% des organisations interrogées ont subi plus d'une fuite de données sur l'année -parfois par le même attaquant-, et 60% d'entre elles ont répercuté les coûts supplémentaires causés par la fuite sur les prix proposés aux clients. Autrement dit, l'augmentation et la sophistication des cyberattaques, qui s'inscrit comme une tendance de fond, pèse de plus en plus sur les entreprises, et se répercute sur leurs affaires quotidiennes.
Le rançongiciel, peine double
11% des organisations interrogées (+48% par rapport à 2021) ont vécu le pire des scénarios : celui d'une attaque rançongiciel. Non seulement ce type d'attaque pose un problème d'intégrité des données (et donc de fuite) mais en plus il détruit (en partie le plus souvent, parfois en intégralité) le réseau informatique, ce qui induit des coûts et du temps supplémentaire pour le reconstruire. En France, deux exemples récents exposent les conséquences financières d'un rançongiciels. La semaine dernière, l'entreprise alsacienne de fabrication de cloisons Clestra a été placée en redressement judiciaire, notamment à cause d'une attaque rançongiciel qui l'a frappée en avril, dont la CGT estime le coût "entre deux et trois millions d'euros".
Plus tôt dans l'année, le centre hospitalier de Dax avait partagé son retour d'expérience sur une attaque rançongiciel subie en février 2021. Le bilan chiffré, un an plus tard, est accablant. D'un côté, 2,35 millions d'euros de dépenses distribuées entre les prestations de cybersécurité, la reconstruction du réseau informatique ou encore les coûts RH (renfort de personnel, heures supplémentaires) nécessaires pour maintenir le niveau d'activité de l'hôpital. De l'autre, 2,34 millions d'euros estimés de manque à gagner sur la radiothérapie, l'imagerie et les analyses de laboratoire. Selon le rapport d'IBM, les fuites dans le secteur de la santé coûtent le plus cher, et de loin, avec une moyenne à 10 millions de dollars sur l'échantillon étudié.
Les mesures de sécurité permettent de réduire les coûts
Du côté des bonnes nouvelles, le rapport conclut également qu'avoir une équipe de réponse à incident et un plan dédié et mis à jour a permis aux organisations concernées de réduire leurs coûts de la fuite de données de près de moitié par rapport à celles qui n'en avaient pas.
L'étude ajoute que l'utilisation de logiciels de XDR (extended detection response) -grossièrement connus sous le nom d'antivirus, même s'ils sont plus avancés- a permis aux 44% d'entreprises concernées de réduire de 29 jours (soit plus de 10%) leur temps de détection et de réponse face à la fuite de données.
Ces deux indicateurs sont un rappel que les mesures de cybersécurité ne servent pas seulement à éviter les incidents, elles permettent aussi de réduire leur impact. Mais faut-il encore avoir les budgets pour les mettre en place correctement.
« Quand nous mettrons le pied sur l'accélérateur, nous serons difficiles à égaler » (Joelle Pineau, directrice de la recherche en IA chez Meta)
Sujets les + commentés