Le coût moyen d’une violation de données continue d’augmenter, selon l’enquête annuelle d’IBM sur 16 pays et régions au cours d’une récente période de 12 mois.
L’étude, qui vient d’être publiée, démontre qu’une violation moyenne a coûté aux 553 organisations étudiées 4,45 millions de dollars américains au cours des 12 mois se terminant le 30 mars, soit une augmentation de 2,3 % par rapport à la même période en 2022.
Le coût moyen a augmenté de 15,3 % depuis le rapport de 2020. Il s’agit de coûts de récupération d’incidents et n’incluent pas les rançongiciels ou les paiements d’extorsion que les organisations auraient pu effectuer.
Dans un rapport distinct qui décompose les résultats pour le Canada, le coût des violations de données dans 28 organisations étudiées a légèrement diminué par rapport à l’année précédente (6,9 millions de dollars canadiens contre 7 millions de dollars canadiens). Cela place le Canada au troisième rang géographique des coûts de violation les plus élevés parmi les organisations étudiées. D’abord les États-Unis, suivis d’un groupe de pays du Moyen-Orient.
En dollars américains, le coût moyen d’une violation parmi les entreprises canadiennes étudiées dans cette édition de l’étude était de 5,13 millions de dollars – plus élevé qu’en Allemagne, au Japon, au Royaume-Uni, en France et en Italie. En comparaison, le coût moyen d’une violation en Australie était de 2,7 millions de dollars.
Lorsqu’on lui a demandé pourquoi le coût au Canada était tellement plus élevé qu’en Australie, Chris Sicard, un partenaire de la pratique de conseil et de prestation de sécurité d’IBM Canada, a émis l’hypothèse que bon nombre des organisations canadiennes incluses dans l’étude de cette année étaient des industries réglementées, où les coûts de récupération sont plus élevés.
Et bien que le coût dans ce pays ait augmenté et diminué depuis qu’il a été inclus dans l’étude mondiale il y a neuf ans, la tendance générale au cours de ces années est à la hausse.
« Dans l’ensemble, nous constatons que la tendance continue d’aller dans la mauvaise direction », a déclaré Chris Sicard dans une interview.
Il y a des éléments d’informations très révélateurs dans l’étude. Par exemple, seul un tiers des 553 entreprises ont découvert leur violation de données par l’intermédiaire de leurs propres équipes de sécurité. Ou, en d’autres termes, 67 % des violations ont été signalées par un tiers, comme un service de police, ou l’entreprise victime n’a été informée que lorsque les attaquants ont annoncé une violation réussie.
En d’autres termes, les entreprises étaient plus susceptibles d’apprendre d’une source extérieure qu’elles avaient été violées avec succès que de leur propre personnel informatique.
« C’est révélateur », a commenté Chris Sicard. « Cela signifie que nous n’avons toujours pas le bon niveau de surveillance et d’informations sur ce qui se passe au sein du réseau… Vous ne pouvez pas protéger ce que vous ne voyez pas. »
Voici une autre statistique : en moyenne, le coût d’une violation de données parmi les organisations dotées d’équipes de développement d’applications avec une forte adoption des standards « DevSecOps » était inférieur de 1,68 million de dollars US à ceux qui n’accordaient que peu ou pas d’attention à ce processus.
Les trois stratégies d’entreprise suivantes qui ont réduit le coût moyen d’une violation de données étaient la formation de sensibilisation des employés, la mise en place et le test d’un plan de réponse aux incidents et le bénéfice de l’intelligence artificielle ou des connaissances de l’apprentissage automatique.
Un autre chiffre : le temps moyen parmi les 553 organisations étudiées pour à la fois identifier (204 jours) et contenir les violations de données (73 jours) n’a connu qu’un changement marginal par rapport à l’étude de l’année dernière.
Les éléments les plus efficaces pour réduire le coût d’une violation de données restent les éléments de base, a déclaré Chris Sicard : la formation de sensibilisation des employés, l’utilisation des renseignements sur les menaces, la mise en place d’un processus de gestion des identités et des accès solide, la mise en place d’une architecture informatique de vérification systématique (zero-trust), la mise en place d’un plan de réponse aux incidents solide et l’exécution d’exercices de simulation de cyberattaque. Cela inclut également l’utilisation de solutions d’intelligence artificielle / d’apprentissage automatique pour alléger la charge de travail des professionnels de la sécurité de l’information, a-t-il ajouté.
La recherche pour l’étude a été menée par le Ponemon Institute. Elle comprenait plus de 3 475 entretiens avec des personnes de 553 organisations qui ont subi une violation de données entre mars 2022 et mars 2023. Les personnes interrogées comprenaient des professionnels de l’informatique, de la conformité et de la sécurité de l’information connaissant la violation de données de leur organisation et les coûts associés à la résolution de la violation. Pour des raisons de confidentialité, les informations spécifiques à l’organisation n’ont pas été collectées.
Le rapport global (en anglais) est disponible en ligne. L’inscription est requise.
Adaptation et traduction française par Renaud Larue-Langlois.
