Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Enquête annuelle PGP et Ponemon Institute : Les pertes de données en France coûtent en moyenne 89€/donnée perdue

avril 2010 par Marc Jacob

Le Ponemon Institute, un cabinet spécialisé dans la gestion et la confidentialité des informations, et PGP Corporation, un leader mondial de la protection des données d’entreprise, annoncent les résultats de la toute première étude annuelle sur les coûts subis par les organisations françaises suite à une effraction de leurs données. Le rapport “Etude annuelle 2009 : le coût des effractions de données en France”, réalisé par Ponemon Institute et commandité par PGP Corporation, révèle que chaque dossier client compromis a coûté en moyenne 89 euros en 2009. La réponse a posteriori¹ de l’incident représente le principal vecteur des coûts (31 euros), suivi conjointement par la perte de chiffre d’affaires et par les activités de détection et de reporting sur les incidents (27 euros). Le coût de notification d’une effraction ressort à 4 euros, un chiffre plutôt bas mais qui s’explique par l’absence de réglementation qui impose aux entreprises françaises de notifier de tels incidents.

Le rapport met en évidence le coût engendré par les différentes tâches qui résultent d’une effraction avérée de données au cours de l’année passée. Au total, 17 entreprises et acteurs des services publics en France ont pris part à cette étude. Le nombre de dossiers compromis comportant des informations personnelles va de 2 500 à 57 700. Les coûts de gestion de ces effractions ressortent dans une fourchette de 400 000 euros à 6,4 millions d’euros, avec un coût moyen de 1,9 millions d’euros.

Un des résultats importants de cette étude 2009 concerne la différence importante entre les différents secteurs d’activité, et notamment entre le secteur privé et le secteur public. Ce dernier subit un coût moyen par dossier compromis de 31 euros, un chiffre qui ressort à 147 euros pour l’industrie pharmaceutique et de 140 euros pour celui des services financiers. Ces deux secteurs sont d’ailleurs ceux qui connaissent le turnover client le plus important, dû à une perte de confiance chez les clients, une situation qui ne se retrouve pas dans le secteur public.

« Cette première étude annuelle montre que les organisations françaises, et plus particulièrement le secteur privé, sont durement touchées par l’impact financier des failles de données », observe Larry Ponemon, Président et Fondateur du Ponemon Institute. « Si la nouvelle loi de notification des failles de données adoptée par le Sénat français est votée par l’Assemblée Nationale, elle aura un effet inflationniste sur les coûts associés à la gestion de ces incidents. C’est la première année que nous menons cette enquête sur la France, et donc la première fois que des organisations interviewées ont calculé le poids financier des effractions de données. Il sera intéressant de revoir ces chiffres dans un an et de se pencher sur les améliorations visibles. »

Effraction de données : quels sont les inducteurs de coûts ?

L’étude 2009 démontre que les attaques malveillantes et les réseaux botnets sont les principales sources des effractions de données, et coûtent, au final, bien plus que les effractions induites par des négligences humaines ou des vulnérabilités systèmes. Le coût par dossier compromis suite à une activité malveillante ou criminelle est de 138 euros, contre 85 euros et 77 euros par dossier pour, respectivement, une effraction liée à des négligences et à une vulnérabilité système. Ces chiffres encouragent les entreprises à se protéger de manière plus proactive contre les activités malveillantes externes. Une réponse réactive suite à un incident est, en effet, bien plus coûteuse.
59 pour cent des organisations interrogées cette année ont déclaré avoir subi leur première effraction de données, pour un coût de 99 euros contre 75 euros pour celles ayant déjà connu de tels incidents auparavant. Cet écart peut être attribué au manque d’expérience de ces organisations et à l’absence de processus pour gérer cet incident de manière efficace.

Les erreurs de tiers pèsent également lourdement sur les organisations, et sont à l’origine de 41 pour cent des effractions identifiées lors de cette étude. Les effractions de données qui impliquent une externalisation des données d’entreprise auprès de tiers, notamment dans un cadre offshore, se veulent particulièrement coûteuses. Le coût des dossiers compromis lors de ces effractions est de 130 euros contre 60 euros en l’absence de tierce partie. Un différentiel qui est essentiellement dû aux opérations de recherches, aux expertises post-incident et à des services de conseils.
Enfin, pour 35 pour cent de tous les cas étudiés dans le rapport, l’effraction est la conséquence de la perte ou du vol d’ordinateurs portables et d’équipements nomades hébergeant des données. Les effractions de données impliquant des équipements ressortent à 122 euros par dossier pirate, soit 51 euros (72 pour cent) de plus comparé aux 71 euros pour les incidents hors perte ou vol d’équipements.

Réactivité post-incident

Les organisations interrogées à l’occasion de cette étude ont par ailleurs identifié le chiffrement des données et un contrôle plus étendu comme étant les deux principales réponses technologiques à une effraction de données (25 et 21 pour cent respectivement). Parallèlement, les mesures de prévention les plus adoptées ont été de déployer des procédures et des contrôles manuels supplémentaires (53 pour cent), ainsi que des programmes de formation et de sensibilisation (46 pour cent). Parmi les solutions les moins retenues, notons les solutions de sécurité pour poste client (8 pour cent) et les systèmes de gestion d’événement (5 pour cent). Ces chiffres soulignent une certaine réticence de la part des entreprises françaises à investir dans des solutions technologiques et à adopter une approche holistique à la protection de leurs données.

« Face à la popularité croissante de modèles informatiques comme le Cloud Computing et le travail distant, les données sont plus que jamais vulnérables si elles ne sont pas protégées correctement », explique Phillip Dunkelberger, Président et CEO de PGP Corporation. « En s’assurant que les technologies, règles et procédures appropriées sont en place de manière proactive, les entreprises évitent d’avoir à subir l’impact financier désastreux des effractions de données et peuvent plutôt investir dans des projets qui participent à la croissance de leur activité et de leur rentabilité ».

L’étude est téléchargeable sur www.encryptionreports.com. Elle présente notamment le détail des coûts directs et indirects qui pèsent sur les organisations.


¹ Réponse à postériori : activités qui permettent aux victimes d’effractions de communiquer avec l’entreprise pour poser les
questions souhaitées et obtenir des recommandations qui minimiseront l’impact de l’effraction. Les activités de restauration
comprennent la réponse à postériori, qu’il s’agisse de surveiller les activités des numéros de cartes de paiement piratées ou de
remplacer ces cartes.


Voir les articles précédents

    

Voir les articles suivants