Selon les responsables de l’Identity Theft Research Center (ITRC), les entreprises, organismes publics, universités et autres organisations sans but lucratif aux États-Unis ont rapporté l’an passé près de 450 violations de sécurité et plus de 17 millions d’enregistrements personnels exposés.  C’est un peu moins qu’en 2007 où 122 millions d’enregistrements avaient été volés. Un élément plus difficile à évaluer est le coût direct de chaque atteinte à la protection des données. Ces dépenses n’apparaissent généralement pas dans les statistiques des incidents de sécurité. Les entreprises à grands nombres d’actionnaires finissent généralement par enregistrer la dépense des intrusions — si celles-ci sont « matérielles » — mais il est nécessaire de creuser un peu dans leurs rapports annuels. Par Norman Girard, Vice Président Europe de Varonis.

Les conséquences complètes des atteintes vont souvent au-delà des montants détournés eux-mêmes — débits frauduleux des vendeurs et des entreprises — et comprennent les coûts d’enquête, les coûts de vérification de solvabilité, les coûts juridiques, les décisions de justice, et les dommages et intérêts. Pour me faire une idée de la décomposition des coûts dans un cas particulier, j’ai examiné une des atteintes les plus importantes survenues en 2012, concernant un organisme de cartes de crédit. Si le modus operandi de cette atteinte reste un mystère, on suppose qu’au moins 1,5 million de numéros de carte de crédit ont été exposés, même si le nombre est probablement supérieur.

Dans son rapport annuel de 2012, l’entreprise a chiffré à 94 millions de dollars le coût de l’incident. Un peu plus d’un tiers, soit 35 millions, représente « les pertes totales liés à l’escroquerie, les amendes et autres coûts qui nous seront imposés ». Les faits entourant cette intrusion ne sont pas très clairs. Les experts pensent que bien que cet organisme de carte de crédit ait rapporté publiquement l’incident au début 2012, il est possible que les pirates aient pénétré dans ses serveurs en juin 2011. En d’autres termes, il s’est écoulé un temps important pour l’accumulation de débits frauduleux, ce qui peut expliquer la hauteur des coûts.

Il y a également une dépense de 60 millions pour honoraires de consultants et autres coûts  associés à l’enquête et aux réparations, aux paiements aux partenaires et à la surveillance de la solvabilité.  Pour comprendre cette dernière catégorie, lisez mon billet sur les agences nationales de rapports de solvabilité qui maintiennent les informations de solvabilité des consommateurs.

Lorsqu’un consommateur suspecte un vol d’identité, la loi dit qu’il peut geler ses informations pour que les créditeurs soient alertés qu’un incident de vol d’identité est en cours. Avec une atteinte importante à la sécurité des données, une entreprise paiera un service qui gèlera des millions de rapports et établira une surveillance à la recherche d’activité inhabituelle telle que changement d’adresse ou création de nouveaux comptes à partir des informations de crédit existantes. Il s’agit d’une autre dépense à prendre en compte dans l’évaluation du coût d’une intrusion.

Qu’en est-il des coûts juridiques et des procès ? Pour se faire une idée de l’énormité de ces coûts, j’ai examiné une des pires atteintes qui se soient produites en 2007. Cette année-là, un détaillant important a indiqué le vol de 45 millions d’enregistrements de consommateurs. Il peut être difficile d’obtenir un compte exact de toutes les dépenses juridiques dans des rapports financiers d’entreprise, et dans ce cas particulier les coûts ont été répartis sur plusieurs années. Mais voici que nous savons : Dans son rapport annuel de 2007, la direction a indiqué aux investisseurs qu’elle avait établi une réserve avant impôt de près de 200 millions de dollars pour couvrir tous les frais liés à l’intrusion, la plupart de ce montant étant consacré à des questions juridiques.

Le nombre de procès est trop important pour que je puisse en rendre compte dans ce bref billet. Mais le détaillant a fait face à un recours collectif des entreprises de carte de crédit, qui ont dû recréer des millions de nouveaux comptes pour leurs clients. Il y avait également plusieurs recours collectifs en préparation, dont un basé sur le Fair and Accurate Credit Transaction Act (FACTA), qui concerne la protection des données et la confidentialité des informations de solvabilité des consommateurs. Au moment du rapport annuel, plusieurs procureurs examinaient si le détaillant avait violé les lois de protection des consommateurs au niveau des États. La FTC a aussi été impliquée, examinant si d’autres lois fédérales avaient été violées.

Certains montants ont circulé largement en ce qui concerne le coût total d’une intrusion. On parle d’environ 200 dollars par enregistrement. Cela comprend les coûts indirects, tels que la perte de clients, le dommage causé à la marque, la perte de productivité des employés et d’autres éléments non matériels. Quand nous avons examiné les coûts directs — juridiques, de réparation, administratifs, etc. — les montants s’accordaient mieux avec les données que j’ai proposées dans ce billet, à savoir environ 4 à 10 dollars par enregistrement.

Même si vous trouvez les coûts indirects un peu exagérés, les seuls coûts directs, spécialement pour les grandes entreprises, devraient pousser les cadres dirigeants à adopter une attitude plus stratégique sur leurs investissements en matière de protection des données. Après tout, un fichier contenant un million de numéros de compte peut au final coûter 10 millions de dollars. C’est beaucoup pour des permissions de fichier mal configurées!

Norman Girard, Vice Président Europe de Varonis