Moins de 100 € : le coût moyen d’une donnée perdue en France

Une étude du Ponemon Institute, commandée par Symantec, révèle un cours de la donnée perdue à la hausse pour les entreprises françaises. En 2010, il valait mieux avoir perdu ses données par négligence (87€) que par l’intermédiaire d’un sous-traitant (147 €).

Le coût de la perte de données a beau avoir grimpé en flèche en 2010, les entreprises françaises semblent toujours assez peu convaincues par le chiffrement de leurs informations. C’est l'une des conclusions que l’on peut retenir de l'étude réalisée par le cabinet Ponenon Institute, à la demande de Symantec. L'institut d'étude a analysé quelque 21 pertes ou vols de données dans des entreprises françaises (de 11 secteurs d’activité différents). Bilan : en 2010, le coût moyen de la perte de données a atteint des sommets pour s’établir à 2,2 millions d’euros par incident (entre 3 900 et 72 000 données touchées, selon le barème Ponemon). Soit une hausse de 16 % constate l’étude, qui rappelle qu’elle prend en compte toutes les mesures correctives prises a posteriori. Le coût de la donnée perdue ou volée, quant à lui, s’élève en moyenne à 98 €, et prend 9 € en an.

Si les coûts des incidents ont augmenté (de 8,6 millions € pour la plus chère à 282 000 € pour la fourchette basse), l’étude révèle cependant que la source première d’infraction reste encore le prestataire tiers, extérieur à l’entreprise. Le sous-traitant, selon le Ponemon institute, serait dans 43% des cas le responsable n°1 (41% en 2010). La donnée perdue dans le cadre d'un accord de sous-traitance aurait également pris de la valeur au passage (+17 €) et couterait quelque 147 € à l’entreprise. L’exemple du vol de données intervenu chez un des prestataires de la banque JP Morgan aux Etats-Unis en est l’illustration.

Derrière, Ponemon recense également le vol de données par acte malveillant, du type de ceux enregistrés par le ministère des Finances. Représentant 38 % des pertes de données dans les entreprises françaises sondées dans le cadre de cette étude, le vol par des pirates tire le prix de la donnée perdue vers le haut, à 141 € en moyenne, et gagne 3 € par rapport à 2009. Ce que le Ponemon Institue appelle “le prix du danger”...

87 € pour une donnée perdue par négligence

Le coût des pertes de données par négligence reste cependant moins élevé que celui des fuites de données dues à la perte d’un terminal mobile, comme un laptop ou un smartphone par exemple. Alors que dans le premier cas, le coût de la donnée perdue atteint les 87 € et ne représente que 29% des pertes recensées,  dans le second scénario, il pèse un lourd 139 € et compte pour 38% des infractions. Selon l’étude, cet écart serait notamment dû aux “inquiétudes des entreprises face aux solutions mobiles”. Surtout les entreprises craindraient “l'utilisation non sécurisée des technologies mobiles autant ou plus que les cyber attaques directes de leurs systèmes informatiques”. Bien plus que la négligence donc. Le rapport du Ponemon explique que “la baisse de ces infractions [liées à la négligence, NDLR] est liée à une prise de conscience des problèmes associés aux pertes de données et à leur prévention par des efforts centrés sur la sensibilisation et la règle de conformité”.

Reste que face à ce cours à la hausse de la donnée volée, les entreprises préfèrent encore jouer la carte de l’artisanat plutôt que celle de la technologie. En 2010, affirme l’étude, 51% des entreprises ont préféré avec recours à des procédures et contrôles manuels tandis que 44% misaient sur la formation et la sensibilisation. En baisse par rapport à 2009, note encore l’étude. Seulement 28% affirment avoir déployé des technologies de chiffrement. “Les entreprises préfèrent encore de loin les approches traditionnelles, mais perçoivent mieux la valeur des technologies de protection contre les pertes de données, probablement en raison des problèmes de sécurité informatique et de leurs incidences économiques”, conclut alors l’étude.

Pour approfondir sur Gestion d’identités (IGA, PAM, Bastion, PASM, PEDM)

Close