Les violations de données sont de plus en plus fréquentes. Sous la pression réglementaire (RGPD), de plus en plus d’entreprises communiquent sur des incidents de sécurité impliquant la fuite ou le vol de données personnelles. Derrière la publicité, une information est moins mise en lumière, le coût. IBM en collaboration avec Ponemon Institute, publie son étude annuelle sur l’impact financier des violations de données. Au global, ce coût a augmenté de 12% au cours des 5 dernières années pour s’établir à 3,92 millions de données.

Les PME-PMI (de moins de 500 salariés) sont particulièrement sensibles à l’impact financier d’une violation de données. En moyenne, elles subissent une perte de 2,5 millions de dollars, impactant la survie même de l’entreprise. Par ailleurs, pour la première fois, le rapport a étudié l’impact financier à long terme d’un incident sur les données. Conclusion : les effets se font ressentir pendant des années. 67% des coûts liés à une violation de données ont été engagés au cours de la première année, 22% des coûts se sont accumulés au cours de la deuxième année et 11% plus de deux ans après la violation. A noter que les coûts à long terme sont plus élevés au cours de la deuxième et la troisième années pour les entreprises dans des secteurs comme l’énergie, la santé, les services financiers, les produits pharmaceutiques.

La France voit le coût moyen exploser de 8,39% en un an

Dans la typologie, plus de 50% des violations de données sont issues de malware et coûtent en moyenne 1 million de dollars de plus aux entreprises que les violations d’origine accidentelle. Autre constat, plus la violation est importante en taille, plus les pertes sont élevées. Ainsi, les incidents comportant un million d’enregistrement ont coûté 42 millions de dollars de pertes, sur un enregistrement de 50 millions, ce montant passe à 388 millions de dollars de pertes. On notera aussi que les violations liées à la santé sont celles qui coûtent le plus cher : 6,5 millions de dollars en moyenne (soit 60% de plus que les autres secteurs).

En France, le coût total moyen d’une violation de données est de 3,85 millions d’euros en hausse de 8,39% par rapport à l’année précédente et le coût par enregistrement perdu ou volé représente 145 euros (+3,51% par rapport à 2018). Le délai moyen d’identification d’une violation de données est lui aussi en progression en passant de 210 à 225 jours, tout comme le délai pour contenir les incidents qui passe de 75 à 87 jours. Le fait d’avoir une équipe de réponse à incidents permet de réduire sensiblement les coûts de violations des données.