Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Ponemon et PGP : Pertes de données, les organisations ont payé 3.43 millions de dollars US par incident en 2009

mai 2010 par PGP et Ponemon Institute

Le cabinet Ponemon Institute, spécialisé dans la gestion et la confidentialité des informations, et PGP Corporation annoncent les résultats de la toute première étude mondiale sur les coûts subis par les organisations suite à une fuite/perte de données. Le rapport 2009 Annual Study : Global Cost of a Data Breach, réalisé par le Ponemon Institute et commandité par PGP, évalue le véritable coût de plus de 100 cas réels de fuites de données, subies par des organisations dans 18 secteurs d’activité.

L’étude montre que le coût d’une fuite de données ressort à 3,43millions de dollars US en 2009, soit l’équivalent de 142 dollars par fichier client compromis et perdu. Pour autant, ce chiffre varie de manière importante selon le pays étudié, de 204 dollars par fichier perdu aux États-Unis à 98 dollars au Royaume-Uni. 133 organisations, basées dans cinq pays - l’Australie, la France, l’Allemagne, le Royaume-Uni et les États-Unis – ont pris part à cette étude réalisée en 2009. Les coûts moyens d’une fuite de données sur ces cinq pays sont les suivants :

Pays I Coût moyen par fichier (USD) I Coût moyen total d’une fuite (USD)

Australie I 114 I 1,83 millions

France I 119 I 2,53 millions

Allemagne I 177 I 3,44 millions

Royaume-Uni I 98 I 2,57 millions

Etats-Unis I 204 I 6,75 millions

Moyenne I 142 I 3,43 millions

La notification des fuites impacte lourdement sur les coûts

Au sein des pays dont la législation impose de notifier les fuites de données, l’étude montre des coûts nettement supérieurs par rapport aux pays qui n’imposent pas cette contrainte. Ainsi, aux Etats-Unis, 46 états disposent d’un cadre législatif qui impose de révéler les fuites et les pertes de données. Résultat, le coût par fichier perdu est supérieur de 43% à la moyenne mondiale. L’Allemagne, qui dispose d’une réglementation similaire depuis juillet 2009, se classe second en matière de coûts, avec des coûts 25% plus élevés que la moyenne mondiale. En revanche, en Australie, en France et au Royaume-Uni, aucune réglementation de ce type n’est en vigueur, ce qui tire les coûts en deçà de la moyenne.

« Un des principaux enseignements de cette étude est que la réglementation a un impact majeur sur le coût des fuites de données », observe Larry Ponemon, Président et Fondateur du Ponemon Institute. « Les chiffres américains en témoignent, et les autres pays subiront également cette inflation des coûts au fur et à mesure que la notification des fuites deviendra réglementaire. »

Au Royaume-Uni, seul le secteur public et celui des banques sont tenus de notifier les fuites de données. Le coût moyen est donc inférieur de 45% à la moyenne mondiale, et de plus de 50% par rapport au coût moyen que subissent les entreprises américaines.

“Aux États-Unis, la réglementation en matière de protection des données est stricte, et les conséquences financières d’une fuite sont les plus importantes, ce qui n’est guère étonnant. En revanche, le coût relativement bas supporté par les entreprises anglaises peut laisser perplexe”, constate Jonathan Armstrong, Avocat spécialisé dans les technologies au sein du cabinet Duane Morris. “A l’avenir, la position de L’Information Commissioner’s Office britannique sera plus ferme, entraînant des amendes plus lourdes et une inspection d’un panel plus important d’organisations. Il sera alors intéressant d’étudier l’impact de cette évolution sur les coûts au Royaume-Uni.”

Principal inducteur de coût : la perte de confiance des clients et son impact sur l’activité commerciale.

Près de la moitié (44 %) des coûts liés aux pertes de données est due à une perte d’activité commerciale : les coûts supplémentaires sont dus à une moindre fidélisation des clients et aux difficultés d’attirer de nouveaux clients compte tenu d’une image de marque dégradée. A nouveau, les coûts varient de manière importante et ressortent les plus élevés aux États-Unis, avec la perte d’activité commerciale représentant 66% de l’ensemble des coûts.

Pays % du coût lié à une perte d’activité

Australie 33%

France 30%

Allemagne 34%

Royaume-Uni 46%

Etats-Unis 66%

Moyenne 44%

"Quel que soit le pays étudié, la réputation médiocre d’une entreprise en matière de gestion des données confidentielles pèse lourdement sur sa marque”, souligne Phillip Dunkelberger, Président et CEO de PGP Corporation. "Les données constituent un capital et doivent, à ce titre, être parfaitement protégés. La réglementation en matière de notification des fuites de données implique que les clients soient avertis de tels incidents. D’autre part, les pays sont de plus en plus nombreux à renforcer ce cadre législatif, d’autant qu’ils se rendent compte que la perte de données encourage le turnover des clients à aller voir ailleurs."

La réglementation induit les coûts de détection et de notification

Les coûts d’identification et de notification des fuites de données sont particulièrement élevés en Allemagne (52 dollars US par fichier perdu), reflétant l’investissement nécessaire en nouvelles technologies et en processus métiers pour se conformer à l’obligation récente de notifier toute fuite. Aux États-Unis, qui appliquent une telle législation depuis 2005, les coûts sont moindres (8 dollars US), et ils sont orientés à la baisse sur les années récentes : les organisations américaines ont ainsi développé des processus de détection et de notification plus efficaces au cours du temps. Quant aux entreprises françaises, australiennes et britanniques, elles doivent s’attendre à une tendance similaire : croissance initiale des coûts pour assurer une mise en conformité avec les réglementations émergentes, puis une baisse lorsque les processus sont en place et affinés.

Pays Coût des procédures de détection et de notification (en USD)

Australie 38

France 36

Allemagne 52

Royaume-Uni 18

Etats-Unis 8

Moyenne 31

La responsabilité de tiers et les attaques criminelles alimentent les coûts

Lorsqu’un tiers est responsable de la perte de données, les coûts se révèlent plus élevés dans tous les pays, compte tenu des audits post-incident nécessaires pour enquêter sur une fuite et y pallier. Pour autant, l’impact financier des erreurs de tiers varie largement dans le monde, impliquant un coût supplémentaire de 12% au États-Unis et jusqu’à un impressionnant 116% en France.

Pays % des fuites causés par des tiers % de croissance des coûts

Australie 31 39

France 41 116

Allemagne 27 31

Royaume-Uni 36 31

Etats-Unis 42 12

Les organisations victimes d’une de perte de données suite à un acte malveillant ou criminel subissent des coûts plus élevés, les entreprises françaises subissant les impacts les plus négatifs. Les attaques malveillantes, en recrudescence dans tous les pays, sont à l’origine de 24 à 54 % des incidents. Les organisations sont ainsi invitées à adopter une approche plus proactive à la protection de leurs données face à de tels actes, pour ainsi en maîtriser les coûts.

Pays % des fuites causés par des attaques % de croissance des coûts

Australie 44 61

France 35 121

Allemagne 54 23

Royaume-Uni 24 25

Etats-Unis 24 7

Une plus forte implication du RSSI permet d’avoir des coûts mieux maîtrisés.

Lorsque le Responsable ou le Directeur de la sécurité su Système d’information (RSSI) d’une organisation s’implique personnellement dans la gestion d’une fuite, les coûts sont moindres sur les cinq pays étudiés. Pour autant, de tels incidents ne sont gérés par ces directeurs que dans une minorité des cas : les organisations interrogées sont nombreuses à ne pas disposer d’un tel profil ou ne tiennent pas le RSSI responsable des incidents de fuite de données.

Country % de fuites gérées par un RSSI % de réduction des coûts

Australie 44 3

France 41 12

Germany 36 45

Royaume-Uni 39 12

Etats-Unis 40 33

“La bonne nouvelle de cette étude est que, quelles que soient la localisation d’une entreprise ou la réglementation en vigueur, l’implication d’un RSSI permet de maîtriser le coût total des fuites de données”, poursuit Philip Dunkelberger. “En clair, les organisations sont invitées à créer un tel poste si elles souhaitent minimiser l’impact d’une fuite de données”.

L’étude est disponible auprès de PGP Corporation sur : www.encryptionreports.com




Voir les articles précédents

    

Voir les articles suivants