Les coûts d'une fuite de données augmentent. Voilà ce qu'indique IBM dans une étude annuelle, dans laquelle l'entreprise examine l'impact financier des fuites de données sur les organisations. Selon le rapport, le coût d'une fuite de données a crû de 12 pour cent au cours des cinq dernières années. En moyenne, une entreprise perd quelque 3,92 millions de dollars. De plus, une fuite impacte une organisation plusieurs années durant. Ce sont surtout les PME qui auraient beaucoup à perdre. De l'étude, il ressort en effet que les entreprises occupant moins de 500 personnes perdraient en moyenne 2,5 millions de dollars en cas de fuite de données, ce qui est pénible à encaisser dans le cas d'entreprises qui, généralement, n'engrangent guère plus de 50 millions de dollars de rentrées par an.

Piratage et cas malheureux

L'étude a été réalisée par le Ponemon Institute à la demande d'IBM Security. Elle est basée sur des interviews de plus de 500 entreprises dans le monde ayant subi une fuite de données au cours de l'année écoulée. La moitié de ces fuites était due à une cause malveillante, telle une cyber-attaque. Les fuites malveillantes, dont on peut déduire qu'elles ont été provoquées par quelqu'un qui envisagait de tirer effectivement parti des données ainsi dérobées, coûtent en moyenne à l'entreprise ciblée un million de dollars en plus que les fuites dues à une erreur humaine ou à un bug dans un logiciel.

Selon IBM (et quasiment tout autre fournisseur de produits de sécurité), ces attaques sont aussi en progression. Le pourcentage d'attaques effectives provoquant une fuite de données est passé de 42 à 51 pour cent au cours des cinq dernières années, peut-on lire dans l'étude. Cela n'empêche pas les cas malheureux, bugs logiciels et erreurs humaines, comme l'oubli de placer le S3 bucket sur 'privé', sont encore et toujours responsables de la moitié des fuites de données. La configuration fautive de serveurs 'cloud' (pas uniquement ceux d'Amazon, évidemment) a en 2018 causé la fuite de 990 millions de données, soit quelque 43 pour cent de l'ensemble des documents qui ont pris la clé des champs cette année, d'après IBM.

150 dollars par document fuité

Le Ponemon Institute a calculé qu'une fuite de données coûte en moyenne 150 dollars par document. Plus il y a de données en fuite, plus élevées sont les pertes. Ce montant se compose partiellement d'amendes et de dépenses correctrices, mais aussi en grande partie de clients qui perdent confiance et vont voir ailleurs. Dans ce sens, la perte de données peut ensuite avoir une influence des années durant. Du rapport, il apparaît que l'impact d'une fuite est ressenti plus fortement au cours de la deuxième et de la troisième année qui suit, si l'entreprise est active dans un secteur très sensible comme les finances ou les soins de santé. C'est précisément dans ces secteurs qu'on attend des entreprises qu'elles accordent une attention toute particulière à la protection des données.

L'étude examine également les facteurs capables de réduire le coût d'une fuite. Le plus important - et cela n'est guère étonnant - est le recours au cryptage. Veiller à ce que les données fuitées ne puissent à tout le moins pas être jetées en pâture telles quelles sur le net, diminue le coût d'une fuite de 360.000 dollars. Quant au 'business continuity management', il réduit en moyenne le coût de 280.000 dollars.

En général, il ressort que la manière dont réagit une entreprise à une fuite de données, et la rapidité avec laquelle elle le fait, représente un facteur important dans le coût total. L'année dernière, le colmatage d'une brèche a duré en moyenne 279 jours. Il a fallu 206 jours pour découvrir le problème, plus 73 pour trouver une solution. Les entreprises, qui ont eu besoin de moins de 200 jours pour mener à bien tout le processus, ont perdu en moyenne 1,2 million de dollars en moins. Le fait de posséder un 'incident response team' et un 'incident response plan' bien au point et sérieusement testé est également considéré comme une manière de réduire le plus possible les conséquences finales d'une fuite: d'1,2 million de dollars en moyenne, selon des simulations figurant dans le rapport. Autrement dit, soyez prêt.

L'étude a donc été réalisée par le Ponemon Institute, à la demande d'IBM Security. Dans le cadre de l'étude, plus de 3.000 personnes ont été interrogées dans plus de cinq cents entreprises ayant eu maille à partir avec une fuite de données au cours de l'année écoulée. Ces entreprises étaient situées un peu partout dans le monde, notamment en Allemagne, en France, en Italie et en Scandinavie, mais pas en Belgique.