Article publié initialement sur Silicon.fr
Quel est le coût des pertes de données pour les entreprises françaises? PGP s’est penché sur la question. Après avoir avancé que 67% des organisations professionnelles étaient victimes de violations de données, le spécialiste des solutions de chiffrement a commissionné le Ponemon Institut pour faire les comptes. Ils ne sont pas tristes…
L’étude, la première du genre en France (disponible en ligne), révèle que les dépenses des entreprises liées aux effractions des données s’élèvent à 1,9 million d’euros, en moyenne. Avec une fourchette comprise entre 400 000 et 6,4 millions d’euros. Ce montant moyen se décompose entre la détection des pertes et les conséquences financières sur l’activité (580 000 euros pour chacun), le traitement (650 000) et les frais de notification (90 000 euros ou 4 euros par notification).
Bien sûr, le cabinet d’études ne révèle pas les noms des 17 grandes entreprises et organisations publiques interrogées. Il indique cependant qu’elles couvrent 11 grands secteurs industriels et s’appuient sur 2 500 à 57 700 dossiers de cas de pertes de données. Malgré la faiblesse du nombre d’entreprises interrogées, le volume de dossiers traités permet d’accorder un ordre de grandeur représentatif aux résultats obtenus dans l’étude.
Dans les détails, chaque dossier de pertes de données client coûte en moyenne 89 euros à l’organisation. A noter que, dans le secteur public, ce chiffre tombe à 31 euros tandis qu’il explose à 140 euros dans le monde de la finance et 147 euros pour l’industrie pharmaceutique. Deux secteurs à fort turnover clients qui contraste avec les activités publiques.
Les auteurs de l’étude relèvent également que les attaques malveillantes coûtent plus cher aux entreprises que les négligences internes et les vulnérabilités système : respectivement 138 euros contre 85 et 77 euros. De même, pour 59% des entreprises interrogées, les traitements des nouvelles effractions de données coûtent plus cher (99 euros par cas) que celles bénéficiant déjà d’une certaine expérience en la matière (77 euros). « A force d’avoir des pertes, les entreprises réduisent leurs pertes », commente, non sans humour, Phil Dunkelberger, président et CEO de PGP Corporation.
Les principales causes de pertes de données se répartissent à peu près équitablement entre les attaques malveillantes (35%), les vulnérabilités (35% également et pour cause puisqu’elles permettent majoritairement les attaques) et les négligences humaines (30%). La perte d’ordinateur portable par les utilisateurs (ou plus exactement l’accès au données qu’ils contiennent), un grand classique qui ne varie quasiment pas depuis 10 ans selon PGP, compte ainsi pour 35% des cas étudiés. Les données perdues à partir des smartphone restent, pour l’heure, quantités négligeables.
En revanche, les pertes de données par des tiers (infogérance) comptent pour 41% des effractions identifiées. Soit pas loin de la moitié des cas. Et sont plus onéreuses à traiter: 130 euros contre 60 pour un traitement interne. De quoi se poser à deux fois la question de l’intérêt de l’externalisation de certaines activités.
« C’est la grande question du cloud computing », estime Phil Dunkelberger, « le cloud implique la protection des données mais aussi de l’infrastructure. » En matière d’encryption, « solution considérée comme la plus rapide à mettre en oeuvre pour protéger les données », le cloud va devoir intégrer la question de la gestion des clés de chiffrement, selon le dirigeant. En attendant, le cloud privé risque de continuer à s’imposer durablement face au cloud public (ou extérieur au firewall de l’entreprise).
Il est intéressant de noter que les frais de notification des pertes de données s’élèvent à 4 euros par cas en France. Un chiffre « plutôt bas », estime PGP, qui s’explique par l’absence de réglementation en la matière sur le territoire. Ce qui ne devrait pas durer. Un projet de loi de notification des failles de données doit passer devant l’Assemblée après avoir été adoptée par le Sénat le 24 mars dernier. Il sera intéressant de revenir sur ce chiffre une fois la loi appliquée.