Quel est le véritable coût d’un vol de données ?

Les motivations d’une cyberattaque sont variées. Les criminels peuvent vouloir s’approprier des données de cartes bancaires ou des données commerciales, certains veulent juste perturber l’activité, mais quel que soit le motif, toutes ces attaques ont un impact sur l’entreprise qui en est victime.

On sait qu’une entreprise qui se protège efficacement contre les risques de compromission de ses données peut économiser des dizaines de millions d’euros, conserver la confiance de clients fidèles et aussi celle des investisseurs. Mais peut-on réellement quantifier le coût réel d’une compromission de données ?

Dans le cadre de l’édition 2015 du rapport « Verizon Data Breach Investigation Report », une approche plus juste d’estimation du préjudice causé par un incident de sécurité a été recherchée.  L’idée était de s’appuyer sur des données réelles, et d’envisager plusieurs facteurs contributifs, par-delà le seul nombre des fichiers compromis.

Nous avons constaté que le coût d’une compromission ne suit pas un modèle linéaire et qu’il ne doit pas être exprimé comme tel. En réalité, le coût par fichier diminue à mesure que le nombre de fichiers perdus augmente. Plutôt que de rechercher une simple moyenne, nous avons modélisé la façon dont le coût réel varie en fonction du nombre des fichiers. Nous pensons que c’est un indicateur bien plus fiable. Et ce modèle peut servir à évaluer le coût des compromissions subies par toutes les entreprises et organisations.

L’analyse du véritable coût d’une compromission

Les analystes en sécurité de Verizon ont utilisé un nouveau modèle pour évaluer l’impact financier d’une compromission de sécurité à partir de l’analyse de près de 200 demandes d’indemnisation dans des dossiers de cyber responsabilité. Ce modèle démontre que le coût de chaque vol dépend du type des données volées et du nombre de fichiers compromis, et révèle une grande amplitude entre le coût le plus élevé et le plus faible (vol de numéros de carte de paiement, de dossier médical, etc.). 

Par exemple, le modèle prédit que le coût d’une compromission portant sur 10 millions de fichiers sera compris entre 2,1 millions et 5,2 millions de dollars (dans 95% des cas) et qu’en fonction des circonstances, il peut atteindre 73,9 millions de dollars. Pour une compromission de 100 millions de fichiers, le coût sera compris entre 5 millions et 15,6 millions de dollars (dans 95% des cas) et peut atteindre 199 millions de dollars au maximum.

Il en ressort que la taille d’une entreprise n’a aucun effet sur le coût d’une cyberattaque. Si ce sont les compromissions affectant de grands groupes qui font la une de la presse, c’est parce qu’ils perdent de grands nombres de fichiers. Le coût d’une compromission, pour un nombre de fichiers donnés, est identique indépendamment de la taille des entreprises victimes.

Ce nouveau modèle d’estimation du coût d’une cyberattaque est très fiable, même s’il peut toujours être amélioré. Il ne faut pas perdre de vue qu’il coûte toujours plus cher de subir les conséquences désastreuses d’une compromission que de se doter de mécanismes de défense adaptés.

Assurer sa sécurité n’est pas un luxe, c’est une nécessité absolue de chaque instant.