Symantec et le Ponemon Institute publient  les résultats de l'édition 2011 de l'étude sur les coûts relatifs aux violations de données en France, intitulée 2011 Cost of a Data Breach Study : France. Selon cette étude, le coût lié aux violations de données a augmenté de 16 % par rapport à celui constaté l’an passé pour s’établir à 2,55 millions d’euros, et de 34 % en deux ans, depuis la première étude du genre publiée en 2010. Le coût moyen par donnée compromise s’élève à 122 €, contre 98€ l’an passé. L’étude révèle également une constance dans les origines de ces violations, des tendances par secteur et des considérations organisationnelles permettant de réduire ces coûts.

Les coûts de détection et d’information de ces données compromises augmentent également, en relation avec un environnement légal plus contraignant ainsi que le développement des technologies mobiles. Cette troisième étude annuelle consécutive du Ponemon Institute sur le sujet s’appuie sur les expériences de violations de données de 23 entreprises françaises représentant 10 secteurs d’activités différents.

Points clés de l’étude :

• Pour la troisième année consécutive, le coût des violations de données a augmenté. Il est passé de 2,2 M€ en 2010 à 2,55 M€ en 2011. Le coût moyen par donnée compromise est quant à lui passé de 98€ à 122€, constitué à 57 % de charges indirectes telles que la perte de clients.

Ces coûts varient selon les secteurs d’activité des entreprises interrogées. Si la taille de l’échantillon ne permet pas une généralisation des coûts par secteur, les tendances constatées lors des deux premières études se trouvent confirmées par la nouvelle édition du Cost of Data Breach. Les finances, les nouvelles technologies et les biens de consommations sont les secteurs où les coûts de violation de données sont les plus élevés.

• Les attaques malveillantes ou criminelles restent la cause n°1 de la violation de données, à 43 % des cas. Parmi ces attaques, on trouve les maliciels, les actes malintentionnés depuis l’intérieur, le vol de terminaux comportant des données. Il convient de noter également que les coûts relatifs à ce type de violations sont supérieurs à ceux imputables aux autres sources : 148€ par donnée compromise, soit nettement plus que la moyenne constatée

Autres causes de ces violations de données : la négligence, à 30 %, qu’elle soit le fait d’employés ou de sous-traitants, et les problèmes informatiques ou de process à 26 %.

• Les conséquences commerciales des violations de données: Le taux d’attrition des clients est passé de 4,1 % à 4,4 % en 2011, avec des secteurs comme les télécommunications et la finance qui ont constaté des taux plus importants.

Par ailleurs, les coûts relevant des pertes d’activité ou de contrats s’élèvent à eux seuls à 782,749 €, reflétant la nécessité, pour les entreprises, d’entreprendre des actions spécifiques pour acquérir de nouveaux clients et améliorer leur réputation.

• Quels sont les facteurs augmentant le coût des violations de données ? Quand c’est une première fois, lorsque la réponse est rapide, lorsqu’un tiers est impliqué et… lorsque les données sont compromises sur un terminal perdu ou volé.

• Certains facteurs contribuent à réduire le coût des violations de données. Recourir à un consultant externe en cas de données compromises peut réduire le coût, mais c’est la présence d’un Directeur de la sécurité de l’information (RSSI), chargé de la protection de l’information au sein de l’entreprise, qui permet de faire baisser les coûts liés aux violations de données de plus de la moitié (-63€ par donnée compromise).

• Les mesures prises par les entreprises pour éviter et pallier ces infractions sont toujours axées sur les contrôles manuels, les procédures et les programmes de sensibilisation, mais l’utilisation des technologies continue de gagner du terrain : en 2011, 43 % des personnes interrogées ont déployé des procédures et contrôles manuels supplémentaires contre 51 % l’an passé, et 48 % ont mis en place des programmes de formation et de sensibilisation (contre 44 % en 2010). Ce sont les mesures préventives prises suite à une violation de données qui ont la faveur des entreprises françaises : + 9 % pour le chiffrement (à 37 %), + 12 % pour le DLP (à 30 %), + 15 % pour des systèmes de monitoring de la sécurité et +7 % pour les solutions de sécurisation des terminaux.

Symantec recommande aux entreprises de mettre en œuvre les meilleures pratiques suivantes, qu'elles aient été ou non victimes de pertes de données :

1. Évaluer les risques en identifiant et en classant les informations confidentielles
2. Éduquer et responsabiliser le personnel en ce qui concerne la protection des données et les procédures à suivre
3. Mettre en place des solutions de sécurité intégrées qui intègrent une approche de la sécurité basée sur la réputation, une protection proactive contre les menaces et une prévention contre les intrusions afin de maintenir les terminaux hors de portée des maliciels
4. Déployer des technologies de prévention des pertes de données qui permettent l'application de règles de sécurité et de conformité
5. Chiffrer proactivement les ordinateurs portables pour réduire les impacts de leur perte
6. Mettre en place des solutions d’authentification forte
7. Intégrer la protection des données aux processus métier

Cette étude, réalisée indépendamment par le Ponemon Institute à la demande de Symantec, tient compte des divers coûts associés aux pertes de données, y compris des dépenses liées à la détection des incidents, leur qualification et hiérarchisation en interne, leur notification, ainsi qu'aux mesures prises a posteriori. Elle analyse également l'impact économique de la perte de confiance des clients, mesurée par le nombre de clients perdus.

Le rapport sur le coût des pertes de données en France résulte d'une analyse détaillée de 23 cas de pertes de données, représentant 11 secteurs d'activité. Ce rapport souligne le lien existant entre le nombre de fichiers perdus et le coût d'un incident.

Les entreprises peuvent analyser leurs risques avec le calculateur des risques de perte de données développé par Symantec. Reposant sur sept années de données sur les tendances, ce calculateur tient compte de la taille de l'entreprise, de son secteur d'activité, de sa situation géographique et de ses méthodes de sécurité pour estimer combien lui coûterait une perte de données, globalement et par fichier touché.

Commentaires
« Nous constatons cette année encore une hausse des coûts des entreprises associés aux pertes de données », déclare Dr. Larry Ponemon, président et fondateur du Ponemon Institute. « Les organismes de réglementation font pression pour que les entreprises mettent en place les contrôles nécessaires pour la protection des données ou soient plus sévèrement sanctionnées. L’un des enseignements les plus intéressants de cette édition 2011 de l’étude est la corrélation entre la présence d’un RSSI dans les entreprises et les coûts moindres d’une violation de données. Face aux menaces internes et externes, malveillantes ou non, les entreprises doivent mettre en œuvre proactivement des stratégies, des ressources et des technologies permettant de réduire le risque de pertes de données coûteuses. »

« La protection des données reste un défi pour les entreprises, notamment avec la multiplication des terminaux utilisés et la convergence de leurs utilisations personnelles et professionnelles », commente Laurent Heslault, Directeur des Stratégies de Sécurité de Symantec en France. « Les entreprises doivent non seulement protéger les données partout où elles sont stockées ou utilisées, mais également développer une culture de la sécurité, avec des formations, des règles et des actions.»