Le coût des fuites de données est en forte hausse

Le coût des fuites de données a augmenté de 12% sur les 5 dernières années. Les entreprises européennes limitent la casse en divisant les coûts des incidents par 2 par rapport à ce qui se voit aux Etats-Unis.

Une fuite de données, c’est aussi simple qu’une clé USB qui traîne dans un bureau avec une liste de clients stockée dedans et aussi complexe qu’une cyberattaque d’envergure mondiale. Dans ce domaine-là, il y a en a pour tous les goûts et personne n’est épargné. De la PME au grand groupe intercontinental, la même inquiétude plane.

Si le phénomène est devenu monnaie courante, il est rare de pouvoir évaluer précisément les conséquences financières d’une fuite de donnée ou d’une cyberattaque. La branche d’IBM consacrée à la sécurité s’est penchée sur la question en interrogeant et analysant 500 entreprises dans le monde ayant subi une fuite de données récemment.

Les secteurs de la santé et de la finance sont les plus touchés en termes de nombre d’incidents et de coûts engendrés.

Même si l’on parle d’une menace globale et mondiale, elle est particulièrement dévastatrice pour les PME. Selon les calculs d’IBM, une fuite de données dans une entreprise belge de moins de 500 personnes coûte en moyenne 2,3 millions d’euros. De façon plus globale, ce montant peut atteindre jusqu’à 5% du chiffre d’affaires de l’entreprise concernée. Un pourcentage colossal, en augmentation par rapport à il y a 5 ans.

279 jours de calvaire

Autre chiffre en hausse, la durée moyenne de la crise qui suit une fuite de données: 279 jours! Une éternité pour n’importe quelle entreprise. Entre l’engagement de spécialistes, la découverte de l’étendue complète de la brèche (79 jours en moyenne) et le remplacement des outils "contaminés", une entreprise va y perdre énormément de temps et d’argent. À noter que les secteurs les plus touchés en termes de nombre d’incidents et de coûts engendrés sont les secteurs de la santé et de la finance. Rien d’étonnant quand on sait que ces deux secteurs concentrent les données les plus sensibles.

L’arme de l’anticipation

Une équipe formée et présente en interne peut réduire de 30% les coûts engendrés par un incident.
Erno Doorenspleet

L’Europe et la Belgique en particulier peuvent tout de même garder la tête haute puisque les conséquences financières sont, en moyenne, 50% moins élevées qu’aux Etats-Unis lors d’incidents similaires. "La mise en place du RGPD et une anticipation institutionnalisée a permis aux entreprises européennes de réduire en amont les conséquences financières des cyberattaques", nous explique Erno Doorenspleet, global executive security advisor pour la task force d’IBM baptisée X-Force Command.

Un commando qui tente de prévenir et former les entreprises au pire. Via des journées de formation aux situations de crise, ils espèrent créer des réflexes automatiques dans les entreprises et l’engagement de personnel dédié. "Une équipe formée et présente en interne peut réduire de 30% les coûts engendrés par un incident", confirme Erno Doorenspleet.

De façon assez évidente, les entreprises qui ont déployé des programmes renforcés de sécurité arrivent à diviser par deux l’impact financier des incidents. Mais les investissements que demandent ces programmes sont tellement lourds que beaucoup d’entreprises font l’impasse et privilégient d’autres investissements.

©Mediafin

L’employé, coupable idéal

À l’origine de 49% des incidents, l’employé est toujours le coupable n°1. Pourtant, les entreprises rechignent encore à sensibiliser et former leurs employés aux règles de base en matière de protection des données. "Insérer une clé USB inconnue dans son ordinateur professionnel, se connecter sur un wi-fi d’aéroport ou encore brancher son GSM à son ordinateur, c’est complètement inconscient. Pourtant, on voit ces gestes en apparence anodins chaque jour dans toutes les entreprises du monde. Or c’est exactement comme cela que l’on crée des brèches qui peuvent coûter des millions", détaille l’expert en cybersécurité de chez IBM.

Le Bel 20 à la peine

Si la Belgique s’en sort dignement, selon le rapport d’IBM, un autre rapport réalisé par Wavestone inquiète. Uniquement centré sur la protection des données, il dévoile que 25% des entreprises du Bel 20 ne sont toujours pas en conformité avec la réglementation liée au RGPD. Alors que la France ou les Pays-Bas affichent des taux flirtant avec les 100%, les entreprises cotées belges ont apparemment encore du pain sur la planche en la matière. Elles pourraient ainsi donner l’exemple aux PME et implémenter des politiques de protection des données dignes de ce nom.

Lire également

Publicité
Publicité

Echo Connect