Stratégie

Le coût des violations de données au plus haut depuis la pandémie

Deux tiers des entreprises touchées par un ransomware ayant fait appel aux forces de l'ordre n'ont pas payé de rançon, selon une étude d'IBM/Ponemon Institute. (Image : Trend Micro)

Dans un rapport de 2024, IBM pointe un coût moyen par violation de données en progression de 9 % à 4,88 M$ contre 4,45 M$ il y a seulement un an. En France, la hausse se limite à 3 % avec un coût moyen de 3,85 M€ qui atteint néanmoins 5,19 M€ dans le secteur pharmaceutique.

PublicitéIl n'y a pas que l'inflation qui a progressé. Le coût moyen d'une violation de données dans le monde aussi. Selon le Cost of a Data Breach Report 2024 d'IBM, il a même atteint un niveau record de 4,88 M$, en augmentation de 9 % par rapport à 2023, signant la plus forte progression depuis la pandémie. Cette 19e étude de Big Blue, réalisée par Ponemon Institute, analyse les violations de données réelles subies par 604 entreprises dans le monde entre mars 2023 et février 2024. Elle identifie les principales causes de l'augmentation des coûts des violations, notamment la croissance des ressources hautement distribuées dans les clouds privés et publics et la pénurie de personnel spécialisé dans la sécurité des SI. IBM a constaté que les coûts liés à la perte d'activité et à la réaction après une violation ont augmenté de manière significative. Ils ont représenté 2,8 M$ sur les 4,88 M$ que coûte en moyenne ce type d'événement.

La France, terre de violation de données

Des données spécifiques ont par ailleurs été communiquées par l'Américain pour la France avec 36 entreprises interrogées pour l'occasion. On y apprend que le coût moyen d'une violation de données y a atteint 3,85 M€, en progression de "seulement" 3 % en un an. Les secteurs qui ont connu les coûts moyens de violation de données les plus élevés sont l'industrie pharmaceutique (5,19 M€), la finance (4,79 M€) et la high tech (4,73 M€).

Le coût moyen et la fréquence des violations de données par vecteur d'attaque initial sont les suivants : informations d'identification volées ou compromises (14 % des incidents ; coût moyen de 3,35 M€), mauvaise configuration cloud (14 % des incidents ; coût moyen de 3,57 M€), vulnérabilité inconnue soit un zero day (12 % des incidents ; coût moyen de 3,97 M€), phishing (11 % des incidents ; coût moyen de 3,86 M€), et compromission de sécurité (9 % des incidents ; coût moyen de 4,23 M€). En France, il faut par ailleurs en moyenne 218 jours pour identifier une violation et 76 jours pour la contenir, soit une augmentation respectivement de 8 et 4 jours par rapport à 2023.

« 70 % des entreprises françaises étudiées déploient désormais l'IA et l'automatisation de la sécurité pour prévenir et combattre les violations. Une société qui a eu largement recours à l'IA et à l'automatisation de la sécurité a détecté et contenu un incident 97 jours plus rapidement et a réduit de 1,83 million d'euros en moyenne les coûts induits, par rapport aux organisations qui n'utilisent pas ces technologies - la plus importante diminution des coûts d'une violation de données constatée dans le rapport 2024 », indique IBM. Enfin, 33 % des violations de données étudiées en France concernaient des data stockées dans plusieurs environnements (clouds publics et privés, on premise), pour un coût moyen de 4,22 M€.

PublicitéLe défi de la protection des données d'identification

Les États-Unis ont, quant à eux, enregistré pour la 14e année le coût moyen le plus élevé pour une violation de données (9,36 M$) parmi les 16 pays et régions étudiés. Le Moyen-Orient, l'Allemagne, l'Italie et le Benelux complètent le top 5. Les analystes précisent que le Canada et le Japon ont vu leurs coûts moyens baisser, tandis que l'Italie et le Moyen-Orient ont connu des augmentations significatives. « Ces violations multienvironnements ont coûté plus de 5 M$ en moyenne et ont été les plus longues à identifier et à contenir (283 jours), soulignant le défi que représentent le suivi et la sauvegarde des données, y compris celles circulant sous le radar (shadow data) et dans les applications d'IA, qui peuvent être non chiffrées », insiste John Zorabedian, responsable de la stratégie des contenus sécurité d'IBM, dans un billet de blog relatif aux résultats de l'étude. « Les types d'enregistrements de données volés dans ce type de brèches ont souligné l'importance croissante de la protection des données les plus sensibles d'une organisation, y compris les données d'identification personnelle (PII) des clients, les informations d'identification des employés et la propriété intellectuelle (IP). »

Les coûts associés aux données d'identification personnelle des clients et des employés étaient en moyenne les plus élevés, complète John Zorabedian. Et les PII des clients ont été impliquées dans un plus grand nombre de violations que tout autre type d'enregistrement (46 % des violations). Les IP pourraient devenir encore plus accessibles au fur et à mesure que les projets de GenAI les font apparaître au grand jour. Les données critiques devenant plus dynamiques et disponibles dans tous les environnements, les entreprises seront amenées à évaluer les risques spécifiques de chaque type de data et les contrôles de sécurité et d'accès applicables, selon John Zorabedian.

Une étude récente de Cisco confirme les résultats d'IBM, constatant que 92 % des entreprises avaient déployé au moins deux fournisseurs de cloud public pour héberger leurs workloads et que 34 % en utilisaient plus de quatre, selon un rapport de 2023. « Cependant, chaque fournisseur de services de cloud public, datacenter privé et environnement de cloud hybride utilise des modèles opérationnels de réseau et de sécurité différents. Les sociétés doivent aborder la complexité de gestion qui en résulte avec une stratégie qui permet une meilleure visibilité et un contrôle plus cohérent de la connectivité et de la sécurité à travers d'environnements de cloud privé et public disparates », selon Cisco. D'ici deux ans, 60 % des entreprises s'attendent à disposer d'une plateforme intégrée de gestion de réseau et de sécurité multicloud avec des API communes pour sécuriser le déplacement des applications, assurer la visibilité sur le réseau et les applications, et prendre en charge la gestion de politiques communes, selon Cisco.

De pesantes pénuries de ressources en SSI

Quant aux pénuries de personnel, le problème ne cesse de s'aggraver, comme l'indique John Zorabedian : « 53 % des entreprises sont confrontées à une pénurie de compétences de haut niveau, soit 26 % de plus qu'en 2023. À l'échelle d'un secteur, elle pourrait coûter cher aux entreprises. Celles qui souffrent d'un manque chronique de personnel spécialisé ont subi des coûts de violation supérieurs de 1,76 M$ en moyenne à celles qui n'ont pas ou peu de problèmes en la matière. » Dans le même temps, ces pénuries pourraient s'atténuer, car les entreprises indiquent avoir l'intention d'augmenter leurs investissements à la suite d'une violation. Selon le rapport, elles prévoient notamment d'investir dans des outils de détection et de réponse aux menaces tels que SIEM, SOAR et EDR. Elles prévoient en outre d'augmenter leurs investissements en gestion des identités et des accès et en protection des données.

La pénurie de personnel pourrait toutefois inciter les plus grandes organisations à se tourner vers l'IA et l'automatisation de la sécurité pour réduire les coûts des violations. « Davantage d'entreprises adoptent l'IA et l'automatisation dans leurs opérations de sécurité, avec une hausse de 10% par rapport au rapport 2023, confirme John Zorabedian. Et le plus prometteur, c'est que l'utilisation de l'IA dans les workloads de prévention a eu l'impact le plus élevé dans l'étude, réduisant le coût moyen d'une violation de 2,2 M$, par rapport aux entreprises qui n'ont pas déployé l'IA dans la prévention [...]. Deux entreprises sur trois dans l'étude ont déployé des technologies d'IA et d'automatisation dans l'ensemble de leur centre de sécurité opérationnelle. Ce facteur peut également avoir contribué à la diminution globale des temps de réponse moyens - les temps d'identification et de confinement d'une violation se contractant dans ce cas de près de 100 jours en moyenne. » Seuls 20 % des organisations ont déclaré utiliser des outils de sécurité GenAI, mais celles qui l'ont fait ont constaté un impact positif. Selon John Zorabedian, ils ont permis de réduire le coût moyen d'une violation de plus de 167 000 $.

D'autres indicateurs pertinents à considérer

- Les informations d'identification volées sont en tête des vecteurs d'attaque initiale : le vol ou la compromission d'informations d'identification est le vecteur d'attaque initial le plus courant (16 %). C'est dans ce cas qu'il a fallu le plus de temps pour identifier et contenir la faille, soit près de 10 mois.

- De tous les vecteurs d'attaque, c'est celui du vol ou de la compromission des informations d'identification qui a été le plus long à identifier et à contenir (292 jours). Les attaques similaires qui consistaient à tirer profit des employés et de leur accès ont également pris beaucoup de temps à être isolées. Par exemple, les attaques par hameçonnage ont duré en moyenne 261 jours, tandis que celles par ingénierie sociale ont nécessité en moyenne 257 jours de résolution.

- Par rapport aux autres vecteurs, les attaques malveillantes internes ont engendré les coûts les plus élevés, avec une moyenne de 4,99 M$. Parmi les autres axes d'attaque coûteux figurent la compromission de la messagerie électronique, le phishing, l'ingénierie sociale et le vol ou l'exposition d'informations d'identification.

- Deux tiers des entreprises victimes d'attaques par ransomware et qui ont fait appel aux forces de l'ordre n'ont pas payé la rançon. Ces entreprises ont également réduit le coût de l'attaque de près de 1 M$ en moyenne, si l'on exclut le coût de la rançon. L'intervention des forces de l'ordre a également permis de réduire le temps nécessaire à l'identification et à la remédiation des violations, qui est passé de 297 à 281 jours.

- Les coûts les plus élevés ont été enregistrés par les entreprises d'infrastructures critiques. Les secteurs de la santé, des services financiers, de l'industrie, de la technologie et de l'énergie sont ceux qui ont enregistré les coûts les plus élevés. Pour la 14e année consécutive, les participants du secteur de la santé ont subi les violations les plus coûteuses, atteignant en moyenne 9,77 M$.