En France, le coût moyen d’une brèche bondit d’un million de dollars

L’an dernier, une brèche de données coûtait en moyenne en France 3,51 M$ à l’entreprise qui en était victime, pour une moyenne mondiale qui s’établissait à 3,62 M$. Cette année, la France entre dans le club très peu prestigieux des pays où ce coût moyen dépasse les 4 M$. A 4,27 M$, il se situe juste derrière celui observé en Allemagne (4,67 M$), au Canada (4,74 M$), au Mexique (5,31 M$) et aux Etats-Unis (7,91 M$). C’est du moins ce que font ressortir les chiffres d’une étude de l’institut Ponemon pour IBM.

Dans l’Hexagone, le coût moyen d’une brèche de données a donc bondi de plus de 34 % en un an, alors qu’il n’a progressé que de 6,6 % à l’échelle de la planète, pour atteindre 3,86 M$.

Rapporté au coût associé au vol ou la perte d’un enregistrement de données, la progression est moins conséquente, mais reste significative : près de 16 %, à 169 $, contre une moyenne mondiale à 148 $. Dès lors, l’explosion du coût moyen d’une brèche dans l’Hexagone semble tenir autant à ce premier facteur qu’à la progression du nombre d’enregistrements de données perdus ou volés lors d’un incident : celui-ci s’établit cette année à 25 336, 23 870 l’an dernier.

Majoritairement, les brèches de données trouvent leur origine dans des attaques malicieuses – à 48 %. Le facteur humain compte pour 27 % des cas. Les systèmes informatiques ne sont pas parfaits : ils sont impliqués dans 25 % des brèches. Ces proportions restent relativement stables d’une année sur l’autre. En France, l’équilibre est différent : 55 % des brèches sont d’origine malicieuse, contre 19 % d’origine humaine. Et 26 % sont à imputer aux défaillances techniques. Mais c’est bien l’attaque malicieuse qui s’avère la plus coûteuse, avec 213 $ par enregistrement dérobé ou volé (167 $ l’an passé), contre 188 $ en cas d’erreur humaine (120 $ en 2017).

La mise en place d’une équipe de réponse aux incidents, l’usage large du chiffrement et la sensibilisation des employés apparaissent comme des facteurs importants de réduction de l’impact financier d’une brèche. Un ordre qui apparaît remarquablement stable depuis plusieurs années, sans pour autant que cela représente une véritable surprise.

Le recours à l’assurance permet également de faire baisser les coûts, de près de 5 $ en moyenne par enregistrement compromis, au contraire du provisionnement de services de protection de l’identité. Et ce dernier n’est pas le seul facteur aggravant. Il faut aussi compter avec l’usage massif d’objets connectés, la perte ou le vol de terminaux, le recours conséquent à la mobilité (+10 $ en moyenne par enregistrement) ou au cloud (près de 12 $ de surcoût par enregistrement en moyenne), voire les défauts de conformité (idem).

En France, la probabilité de souffrir d’une brèche impliquant au moins 10 000 enregistrements dans l’année est aujourd’hui de 35,1 %, contre 32,7 % l’an dernier. Les délais de détection s’établissent à 210 jours, puis de confinement, à 75 jours. Sans surprise, plus les délais sont importants, plus les coûts le sont également. Et justement, l’automatisation de la sécurité peut aider. Lorsqu’elle est totalement mise en œuvre, le coût moyen d’une brèche chute à 2,88 M$, contre 4,43 M$ lorsqu’elle n’est pas du tout utilisée. En France, 13 % des sondés indiquent y avoir largement recours, et 29 % partiellement.

Tous ces chiffres sont évidemment à prendre avec des pincettes, tant l’échantillon est – sans grande surprise – mince : seulement 31 entreprises ont accepté de participer dans l’Hexagone, et 477 en tout. Mais l’étude a tout de même le mérite de fournir ce que l’on peut considérer comme des indicateurs.

L’un d’entre eux donnera sûrement matière à réfléchir : la simulation du coût d’une brèche en fonction de son ampleur. Selon celle-ci, établie à partir de l’expérience de 11 entreprises – dont les chiffres ont été exclus de l’étude globale pour éviter d’en altérer la représentativité des résultats –, ce coût progresse de manière logarithmique jusqu’à 360 M$ pour 20 millions d’enregistrements compromis. A partir de ce seuil, où un plafond est atteint, le coût unitaire par enregistrement affecté décroît donc.