Ponemon Institute Étude 2018 sur le coût des violations de

Étude 2018 sur le coût des violations de données : Impact de la BCM Une étude sponsorisée par IBMRéalisée de façon indépendante par le Ponemon Institute LLC

Octobre 2018

Étude 2018 sur le coût des violations de données : l'impact de la BCM | Page 2Table des matières

Rapport de recherche du Ponemon Institute©

> Partie 1. Introduction ............................................................. 3

> Partie 2. Principales conclusions ........................................... 7

> Partie 3. Comment nous calculons le coût des violations de données .............................................................................. 29

> Partie 4. Caractéristiques organisationnelles ....................... 30

> Partie 5. Limitations ................................................................ 32

Partie 1. Introduction


Étude 2018 sur le coût des violations de données : l'impact de la BCM | Page 3

Partie 1. IntroductionL’étude 2018 sur le coût des violations de données : l’impact de la BCM1 sponsorisée par IBM, analyse les avantages, en termes financiers et de réputation, d’un programme de BCM (Business Continuity Management) préalable à toute violation des données. Selon cette étude, les programmes de BCM peuvent réduire le coût par personne, le délai moyen d’identification (MTTI) et le délai moyen de limitation (MTTC) d’une violation de données, de même que la probabilité qu’un tel incident se produise au cours des deux prochaines années.2

Le but de l’étude est de démontrer la valeur économique de la BCM pour le traitement des incidents de violation de données. Cette étude sur la BCM a été menée sur quatre années consécutives et a systématiquement démontré la présence des tendances suivantes en cas d’intégration de la BCM à la procédure d’intervention dans le cadre d’une violation de données :

> Réduction du temps nécessaire à l’identification de la violation de données > Réduction du temps nécessaire à la limitation de la violation de données > Diminution de la probabilité d’une future violation

La recherche sur les violations de données a été menée pendant 13 années consécutives. Deux nouveaux pays ont été ajoutés à l’étude de cette année : la Corée du Sud et la Turquie. L’étude de cette année a porté sur 477 entreprises de 17 industries dans les 13 pays et régions suivants :

> ASEAN > Australie > Brésil > Canada > France > Allemagne > Inde > Italie > Japon > Moyen-orient > Afrique du Sud > Corée du sud > Turquie > Royaume-Uni > États-Unis

L’impact des programmes de BCM sur le coût de la violation de données

> 9,3 dollars réduction du coût par personne de la violation de données

> 6,5 pour cent réduction du coût par personne de la violation de données

> 44 Réduction en jours du temps moyen nécessaire pour identifier une violation de données

> 38 Réduction en jours du temps moyen nécessaire pour limiter une violation de données

> 31 Réduction en jours du temps moyen nécessaire pour la reprise (MTTR) après une violation de données

> 32 pour cent de réduction de la probabilité d’une violation de données au cours des deux années suivantes

> 31,5 pourcentage de différence de coût par jour entre les entreprises qui intègrent la BCM et celles qui ne le font pas

1 Cette étude est datée en fonction de sa date de publication et non de la date de réalisation des enquêtes sur le terrain. Il est important de noter que la majorité des violations de données décrites dans ce document se sont produites en 2017.

2 Les équipes BCM qui prennent en charge le processus d’intervention en cas d’incident incluent des spécialistes de la fonction de reprise après incident.




Les entreprises de l’échantillon faisant partie de l’ASEAN sont situées à Singapour, en Indonésie, aux Philippines et en Malaisie. La région du Moyen-Orient regroupe des sociétés situées en Arabie saoudite et aux Émirats Arabes Unis.

Toutes les organisations participantes ont subi une violation de données allant d’environ 2 500 à près de 100 000 enregistrements compromis3. Selon notre définition, un enregistrement compromis est un enregistrement qui identifie l’individu dont l’information a été perdue ou volée au cours d’une violation de données. Les termes « coût par enregistrement compromis » et « coût par personne » ont une signification équivalente dans ce document.

Une violation de données importante est une violation impliquant au moins 1 000 enregistrements perdus ou volés contenant des informations personnelles sur des consommateurs ou des clients. Cette recherche n’inclut pas les violations de données impliquant des actifs de grande valeur tels que la propriété intellectuelle, les secrets commerciaux et les informations commerciales confidentielles. Nous n’avons pas inclus dans l’échantillon d’organisations dont les violations de données impliquent plus de 100 000 enregistrements compromis. Plus précisément, des violations de données telles que celles subies par Equifax, Facebook et d’autres ne sont pas révélatrices des violations de données subies par la majorité des organisations. Les inclure dans l’étude aurait faussé nos résultats.

Au total, 262 entreprises (55 %) de notre échantillon disposent d’une fonction ou d’une équipe de BCM ou de reprise après incident qui, d’une façon ou d’une autre, est impliquée dans la gestion des risques et des crises en entreprise. Ces experts interviennent lorsqu’une entreprise subit une violation de données et que, du fait de leur implication, la résolution de la violation de données s’avère plus efficace et moins coûteuse.

Pour l’Étude 2018 sur le coût des violations de données: présentation globale, 477 organisations dans 13 pays et deux régions ont participé. Au total, 2 634 personnes bien informées sur l’incident de violation de données dans ces 477 organisations ont été interrogées. Les premiers points de données collectés auprès de ces organisations sont les suivants : (1) nombre d’enregistrements clients perdus (taille de la violation) et (2) pourcentage de la base de clients perdu (importance de l’attrition de clients) du fait de la violation de données. Cette information explique pourquoi les coûts augmentent ou diminuent par rapport à l’année précédente.

Au cours de nos entretiens, nous avons également posé des questions visant à déterminer ce que l’organisation consacrait à des activités de découverte et d’intervention immédiate en cas de violation de données. Il peut s’agir par exemple d’expertises judiciaires et d’enquêtes et d’activités menées après la découverte, telles que l’information aux victimes et les frais juridiques. Une liste de ces activités est présentée dans la troisième partie du présent rapport. Les autres questions abordées qui peuvent avoir une influence sur le coût sont les causes premières de la violation de données (attaque malveillante ou criminelle, négligence interne ou problème système) et le temps nécessaire pour détecter et contenir l’incident.

Il est important de noter que seuls les événements directement liés à l’expérience de violation de données des 477 organisations de cette enquête, et présentés ci-dessus, ont été utilisés pour calculer le coût. Par exemple, les nouvelles réglementations et/ou les cyberattaques ciblées peuvent inciter les entreprises à investir davantage en pratiques de gouvernance et en technologies de sécurité, mais ces investissements n’affectent pas directement le coût d’une violation de données tel que présenté dans cette étude.

Le calcul des éléments affectant le coût d’une violation de données

Les informations suivantes présentent les données utilisées pour calculer le coût et les facteurs susceptibles d’augmenter ou de diminuer ce coût. Nous pensons que ces informations aideront les organisations à prendre de meilleures décisions quant à la manière d’allouer des ressources afin de réduire les conséquences financières d’une éventuelle violation de données.

> La perte imprévue d’affaires à la suite d’une violation de données (taux de rotation)

3 Les termes « coût par enregistrement compromis » et « coût par personne » ont une signification équivalente dans ce document.




Les programmes qui préservent à l’avance la confiance et la fidélité des clients dans la perspective d’une violation de données aideront à réduire le nombre de clients/d’affaires perdus. Dans l’étude de cette année, davantage d’organisations dans le monde ont perdu des clients à la suite de violations de données. Cependant, comme illustré, le fait d’avoir un responsable de haut niveau, tel qu’un responsable de la confidentialité (CPO) ou un responsable de la sécurité des informations (CISO), en mesure de diriger des initiatives qui renforcent la confiance des clients quant à la manière dont l’organisation protège leurs informations personnelles, réduira l’attrition et le coût de la violation de données. Les organisations qui offrent une protection d’identité aux victimes de violation de données réussissent également mieux à réduire le taux de rotation.

> La taille de la violation ou le nombre d’enregistrements perdus ou volés

Il est évident que le coût d’une violation de données est proportionnel au nombre d’enregistrements perdus. Par conséquent, le schéma de classification des données et les programmes de rétention sont essentiels pour avoir une visibilité sur les informations sensibles et confidentielles vulnérables à une violation et pour réduire le volume de ces informations.

> Le temps nécessaire pour identifier et contenir une violation de données

Plus la violation de données est identifiée et maîtrisée rapidement, plus les coûts sont réduits. Dans l’étude de cette année, les organisations ont constaté une augmentation du nombre de jours nécessaire à l’identification d’une violation de données. Ce nombre est passé d’environ 191 jours en moyenne en 2017, à 197 jours. Le nombre moyen de jours pour contenir la violation de données est passé de 66 à 69 jours. Nous attribuons cette augmentation du nombre de jours à l’utilisation croissante d’appareils IoT, à l’utilisation intensive de plateformes mobiles, à la migration accrue vers le cloud et aux défaillances en matière de conformité.

> La détection et l’escalade des incidents de violation de données

Les coûts de détection et d’escalade englobent les activités légales et d’investigation, les services d’évaluation et d’audit, la gestion de la cellule de crise et les communications avec la direction et le conseil d’administration. Les investissements dans des programmes de gouvernance, de gestion des risques et de conformité (programmes GRC), qui établissent un cadre interne permettant de satisfaire aux exigences de gouvernance, d’évaluer les risques pour l’ensemble de l’entreprise/organisation et de contrôler le respect des exigences de gouvernance, peuvent améliorer la capacité de détection et d’escalade de l’organisation en cas de violation de données.

> Coûts postérieurs à la violation des données, dont les coûts nécessaires à l’information des victimes

Ces coûts englobent les activités du centre d’assistance, les communications entrantes, les activités d’investigations spéciales, la résolution de l’incident, les frais juridiques, les remises sur les produits, les services de protection d’identité et les interventions réglementaires. Les États-Unis ont les coûts de notification les plus élevés en raison de nombreuses réglementations imposant la communication aux victimes et aux autorités de réglementation, des cas de violations de données.

L’achat d’une assurance contre les cyberattaques et les violations de données peut aider à gérer les conséquences financières de l’incident. Comme le montre l’étude de cette année, la protection en matière d’assurance et la gestion de la continuité ont réduit les coûts postérieurs à la découverte de la violation de données de 4 dollars par enregistrement en moyenne. En revanche, la précipitation à informer les victimes sans connaître l’étendue de la violation, les manquements en matière de conformité et le recrutement de consultants, augmentent tous les coûts postérieurs à la violation de données. Les dépenses engagées pour résoudre les poursuites légales augmentent également les coûts postérieurs à la violation de données.

Les nouveautés de l’étude de cette année sur le coût des violations de données ?

L’étude sur le coût des violations de données comprend désormais un cadre permettant de mesurer le coût des violations massives, celles qui touchent un million d’enregistrements compromis ou plus. Nous avons également ajouté une analyse spéciale du coût de reprise en cas de violation de données. Cette analyse a été réalisée sur un sous-ensemble de l’échantillon global. 4

4 Le MTTR a été estimé à partir d’un sous-échantillon de 56 entreprises ayant subi une violation de données au cours de l’exercice 2017 et de l’exercice 2016. Cette variable englobe les frais courants jusqu’à un an après la limitation de la violation de données.




1. Réduit considérablement le temps nécessaire à l’identification et à la limitation de la violation de données en raison d’une approche plus structurée et disciplinée des interventions en cas d’événements indésirables. Les enseignements tirés d’un programme de BCM peuvent s’appliquer à la gestion d’une intervention en cas de violation de données. En moyenne, les entreprises intégrant la BCM ont gagné 44 jours pour l’identification de l’incident et 38 jours pour sa limitation (ce qui représente une économie de 82 jours).

2. La BCM est reconnue comme un ajout de valeur à la planification des interventions en cas de violation de données. Sur les 477 entreprises de cette étude mondiale, 262 ont déclaré utiliser la BCM pour la résolution d’une violation de données. Parmi ces entreprises, 98 % estiment cette utilisation très déterminante (68 %) ou déterminante (30 %).

3. Réduit considérablement le coût d’une violation de données. Sans la BCM, le coût moyen d’une violation de données s’élève à 157 dollars par enregistrement. Avec la BCM, le coût moyen est de 139 dollars. De même, le coût total moyen d’une violation de données sans la BCM est de 4,24 millions de dollars et de 3,55 millions de dollars avec la BCM.

4. Réduction du coût par jour avec la BCM. Les entreprises qui utilisent la BCM ou impliquent l’équipe de reprise après incident dans l’intervention en cas de violation de données réalisent une économie moyenne par jour de 5 703 dollars.5 – soit une économie totale de 467 657 dollars6 – du fait de la limitation des interventions en cas de violation de données.

5. Réduit la probabilité de violations de données récurrentes. Si la BCM n’intervient pas dans la planification et l’exécution des interventions en cas de violation de données, la probabilité d’une nouvelle violation de données au cours des deux prochaines années est de 32,3 %. Par contre, si la BCM est utilisée, cette probabilité chute à 23,4 %, soit une diminution de 8,9 % de la probabilité d’une violation récurrente.

6. Réduit les interruptions des opérations de l’entreprise en cas de violation de données. Selon les conclusions, 78 % des entreprises n’utilisant pas la BCM ont subi une interruption significative de leurs activités. Ce chiffre descend à 56 % pour les entreprises utilisant la BCM avant la violation de données

7. Améliore la résilience des opérations informatiques. 69 % des entreprises n’utilisant pas la BCM ont déclaré avoir subi une interruption importante de leurs activités informatiques. En revanche, 58 % seulement des entreprises utilisant la BCM ont déclaré avoir subi des interruptions importantes de leurs activités informatiques.

8. Diminue l’impact négatif sur la réputation de la société suite à une violation de données importante. Plus précisément, 50 % des entreprises utilisant la BCM ont déclaré avoir subi un impact négatif au niveau de leur réputation ou de leur marque en raison de la violation de données. Cependant, 65 % des entreprises n’utilisant pas la BCM ont déclaré que la marque et la réputation de leur organisation avaient été affectées.

9. L’utilisation de la BCM réduit le coût moyen par jour d’une violation de données. Dans l’étude de cette année, le coût moyen par jour des violations de données pour les entreprises du groupe utilisant la BCM est de 4 881 dollars. En revanche, le coût moyen par jour des sociétés ne l’utilisant pas s’élève à 6 705 dollars, ce qui est beaucoup plus élevé. Le coût moyen par jour global pour l’ensemble des 477 entreprises est de 5 703 dollars.

10. L’automatisation et l’orchestration de la reprise après incident7 réduisent le coût par jour d’une violation de données. Les entreprises BCM qui utilisent un processus de reprise après incident manuel ont un coût moyen estimé à 6 546 dollars par jour. En revanche, les sociétés utilisant la BCM avec un processus de reprise après incident automatisé pour l’orchestration de la résilience enregistrent un coût moyen par jour nettement inférieur, à 3 100 dollars. Ce chiffre correspond à une économie de 3 446 dollars par jour.

Les 10 avantages importants de la BCM :

5 Basé sur une moyenne pondérée

6 Le calcul est de 82 jours x 5 703 dollars par jour.

7 L’automatisation consiste à codifier un ensemble d’étapes manuelles de reprise après incident à l’aide de scripts qui pilotent des actions uniques au niveau des composants. L’orchestration est la création d’un workflow intelligent de reprise après incident composé d’actions individuelles automatisées tenant compte de l’ensemble du processus.

Partie 2. Principaux résultats



Partie 2. Principales conclusions Le tableau 1 répertorie les 13 pays et les deux régions et contient une légende, les tailles d’échantillon et les devises locales utilisées dans cette étude mondiale. Il indique également le nombre d’années de l’étude pour chaque pays. Ce nombre va d’une année pour les entreprises turques et sud-coréennes à 13 années pour les États-Unis.

Tableau 1. L’étude globale, d’un coup d’œil

Légende Pays Échantillon % Devise Années de l’étude

US Etats-Unis 65 14 % USD 13ID Inde 43 9 % Roupie 7UK Royaume-Uni 42 9 % GBP 11BZ Brésil 37 8 % Réal 6DE Allemagne 35 7 % Euro 10JP Japon 32 7 % Yen 7FR France 31 6 % Euro 9CA Canada 28 6 % Dollar CA 4ME Moyen-Orient* 28 6 % AED/SAR 5IT Italie 26 5 % Euro 7SK Corée du sud 25 5 % Won 1AU Australie 24 5 % Dollar australien 9TY Turquie 21 4 % TRY 1AS ASEAN # 20 4 % SGD 2SA Afrique du Sud 20 4 % ZAR 3

Total 477 100 %

*L’échantillon ME regroupe des sociétés situées en Arabie saoudite et aux Émirats Arabes Unis.

#L’échantillon ASEAN regroupe des sociétés situées à Singapour, en Indonésie, aux Philippines et en Malaisie.

16 %

15 %

14 %

13 %

1 %1 %2 %3 %

3 %

4 %

5 %

5 %

7 %

7 %

14 %4 %

4 %4 %

5 %

5 %

5 %

6 %

6 %

6 %7 %

7 %

8 %

9 %

9 %




Le graphique circulaire 1 présente la fréquence des violations de données en fonction des principales classifications sectorielles. Les industries représentées comprennent : les services financiers (FS), les services (SV), la fabrication industrielle (IM), la technologie (TC), la distribution (RT), le secteur public (PS), la consommation (CN), les transports (TP), les communications (CM), l’énergie (UE), les laboratoires pharmaceutiques (PH), l’hôtellerie (HP), les soins de santé (HC), les médias (MD), l’éducation (ED), les loisirs (ET) et la recherche (RS).

Dix-sept industries étaient représentées dans l’étude de cette année. Les secteurs les plus importants sont les sociétés de services financiers, les sociétés de services, les sociétés industrielles et manufacturières. Les sociétés de services financiers incluent les banques, les assurances, la gestion des investissements, le courtage et le traitement des paiements.

Graphique circulaire 1. Répartition de l’échantillon par industrie Vue consolidée (n = 477)

Le graphique circulaire 2 montre la répartition de 477 organisations participantes dans 13 pays et deux régions. Comme on peut le constater, les États-Unis représentent le segment le plus important avec 65 organisations, tandis que les échantillons ASEAN et Corée du Sud représentent les segments les plus petits, chacun comprenant 20 organisations.

Graphique circulaire 2. Pourcentage de l’échantillon par pays Vue consolidée (n = 477)

États-Unis (US)Inde (ID)Royaume-Uni (UK)Brésil (BZ)Allemagne (DE)Japon (JP)France (FR)Canada (CA)Moyen-Orient (ME) Italie (IT)Corée du Sud (SK)Australie (AU)Turquie (TY)ASEAN (AS)Afrique du sud (SA)

Services financiersServicesFabrication industrielle TechnologieDistributionSecteur publicConsommationTransportsCommunicationÉnergieIndustrie pharmaceutiqueHôtellerieSantéMédiasÉducationLoisirs Recherche

21 %

20 %

13 %12 %

1 %2 %3 %5 %

6 %

8 %

9 %




Le graphique circulaire 3 montre la distribution des 2 634 personnes ayant participé aux entretiens, représentant 477 organisations dans 11 pays et deux régions. Vingt et un pour cent des personnes interrogées intervenaient dans la sécurité informatique, suivies de 20 % dans les opérations informatiques. Treize pour cent des répondants (soit 338 personnes) intervenaient dans les opérations de BCM ou de reprise après incident.

Sécurité informatique

Opérations informatiques

BCM/reprise après incident

Conformité

Finance et comptabilité

Siège/Division métier

Gestion du risque

Juridique

Bureau de la confidentialité

Communications

Autres

Graphique circulaire 3. Pourcentage de personnes interrogées par fonction Vue consolidée (n = 2 634)

160

155

150

145

140

135

130

145

154158

148

141




Le diagramme linéaire 1 montre le coût par personne de la violation de données pour l’échantillon consolidé des sociétés dans les différents pays et régions. Au cours de l’exercice 2018, le coût a augmenté de plus de 7 dollars par enregistrement compromis, ce qui représente 4,8 % d’augmentation. Comme on peut le constater, l’étude de l’an dernier a révélé une diminution de 17 dollars du coût par personne.

Diagramme linéaire 1. Coût moyen global par enregistrement Vue consolidée (Exercice 2014=315, Exercice 2015=350, Exercice 2016=383, Exercice 2017=419, Exercice 2018=477) Exprimé en dollars US

Le diagramme linéaire 2 montre le coût moyen total de la violation de données pour l’échantillon consolidé de sociétés situées dans les différents pays et régions. Au cours de l’exercice 2018, le coût a augmenté de plus de 0,24 million de dollars par incident de violation de données, ce qui représente une augmentation de 6,4 %.

Diagramme linéaire 2. Coût moyen global par incident Vue consolidée (Exercice 2014=315, Exercice 2015=350, Exercice 2016=383, Exercice 2017=419, Exercice 2018=477) En millions de dollars

4,10

4,00

3,90

3,80

3,70

3,60

3,50

3,40

3,30

3,20

3,50

3,79

4,00

3,62

3,86

Exercice 2014 Exercice 2015 Exercice 2016 Exercice 2017 Exercice 2018

Exercice 2014 Exercice 2015 Exercice 2016 Exercice 2017 Exercice 2018




Voici les quatre éléments généraux du coût des violations de données exprimés en millions de dollars :

• Détection et escalade : activités qui permettent à une société de détecter une violation de données. Les activités d’escalade sont celles nécessaires pour signaler la violation de données au personnel responsable, dans un délai défini.

• Notification: activités qui permettent à la société d’avertir les victimes de la perte et du vol des données par courrier, téléphone, e-mail ou via un avis général. Nous incluons également les coûts liés à la communication avec les régulateurs de la protection des données et autres parties connexes.

• Intervention à posteriori : activités permettant aux victimes de la violation de données de communiquer avec la société pour poser des questions ou se procurer des recommandations afin d’atténuer les dommages potentiels. Les activités de réparation incluent également des interventions à posteriori telles que la surveillance des rapports de crédit ou la création d’un nouveau compte (ou d’une carte de crédit).

• Coût de la perte d’affaires : activités qui tentent de minimiser la perte de clients due à la violation de données. En outre, nous avons estimé le coût d’acquisition de nouveaux clients à la suite de la divulgation de la violation de données. Enfin, cette section inclut les coûts liés à l’interruption de l’activité et aux pertes de revenus.

Le coût total moyen de la violation de données dans l’année en cours est de 3,86 millions de dollars. Comme le montre le graphique circulaire 4, un montant de 1,45 million de dollars est attribuable à l’élément le plus coûteux, à savoir la perte d’affaires. L’élément le moins coûteux est la notification de la violation de données à 0,16 million de dollars.

Coût de la perte d’affaires

Détection et escalade

Intervention à posteriori

Notification

USD0,16

USD1,02 USD

1,45

USD1,23

Graphique circulaire 4. Quatre éléments de coût de la violation de données Vue consolidée (n = 477)En millions de dollars

ET HC MD ED RT CN HP SV PH TP PS TC IM CM RS EU FSMTTC 80 1037 88 46 98 27 26 66 36 05 76 06 35 85 37 25 4MTTI 2872 55 2252 17 2081 94 1951 91 1901 92 1901 79 1681 73 1691 50 163

0

50

100

150

200

250

300

350

400

MTTI MTTC

ME BZ TY FR JP SK AS ID AU IT US CA UK SA DEMTTC 91 1008 67 56 96 77 27 87 55 65 26 96 44 04 1MTTI 2602 40 2252 10 2152 01 1951 88 1851 99 2011 81 1631 50 138

0

50

100

150

200

250

300

350

400

MTTI MTTC




Plus la violation de données est identifiée et maîtrisée rapidement, plus les coûts sont réduits. Les métriques MTTI et MTTC sont utilisées pour déterminer l’efficacité du processus de réponse aux incidents.

La figure 1 montre le MTTI et le MTTC pour 17 secteurs d’activité. Comme on peut le constater, le MTTI et le MTTC varient d’un secteur à l’autre. Dans l’étude de cette année, pour notre échantillon consolidé de 477 entreprises, le MTTI a été en moyenne de 197 jours. Les sociétés du secteur des loisirs (ET) affichent les taux combinés MTTC et MTTI les plus élevés à 367 jours. En revanche, les sociétés de services financiers (FS) ont le MTTC et le MTTI combinés le plus bas (217 jours).

Figure 1. Nombre de jours pour identifier et contenir une violation de données par secteur d’activité Vue consolidée (n = 477)

La figure 2 montre le MTTI et le MTTC pour chaque échantillon national ou régional.Le Moyen-Orient atteint le plus grand nombre de jours pour identifier et contenir une violation de données, à 351 jours. Alors que, à 179 jours, les entreprises allemandes atteignent le plus petit nombre de jours pour identifier et contenir une violation de données.

Figure 2. Jours pour identifier et contenir la violation de données par pays/région Vue consolidée (n = 477)

178

234

175

227

171

214

170

214

50

100

150

200

250

55

83

52

88

50

85

52

90

10

20

30

40

50

60

70

80

90

100




La figure 3 montre que le nombre de jours nécessaires pour identifier la violation de données est plus faible pour les organisations qui utilisent la BCM et/ou l’équipe de reprise après incident dans le processus de réponse aux incidents. Au cours de l’exercice 2018, nous avons enregistré une économie de 44 jours (de 214 à 170). L’année dernière, nous avons constaté une économie de 43 jours (de 213 à 171).

La figure 4 montre que le nombre de jours pour contenir l’incident de violation de données est inférieur pour les organisations utilisant la BCM, soit un gain de temps de 38 jours (de 90 à 52). Au cours de l’exercice 2017, les entreprises utilisant la BCM ont réalisé un gain de temps de 35 jours (85 à 50).

Utilisation de la BCM (jours) Pas d’utilisation de la BCM (jours)

Utilisation de la BCM (jours) Pas d’utilisation de la BCM (jours)

Exercice 2015 Exercice 2016 Exercice 2017 Exercice 2018

Exercice 2015 Exercice 2016 Exercice 2017 Exercice 2018

Figure 3. MTTI pour les organisations qui utilisent ou n’utilisent pas la BCM dans le processus de réponse aux incidents Vue consolidée (Exercice 2015=350, Exercice 2016=383, Exercice 2017=419, Exercice 2018=477)

Figure 4. MTTC pour les organisations qui utilisent ou n’utilisent pas la BCM dans le processus de réponse aux incidents Vue consolidée (Exercice 2015=350, Exercice 2016=383, Exercice 2017=419, Exercice 2018=477)




La figure 5 illustre le coût quotidien extrapolé des violations de données associé aux inefficacités d’identification et de confinement de la violation. Comme indiqué, 215 entreprises (45 %) sans programme de BCM réalisent un coût moyen par jour de 6 705 dollars. En revanche, le coût moyen par jour pour le groupe BCM est de 4 881 dollars. La moyenne générale est de 5 703 dollars.

La figure 6 illustre les économies de coûts liées à la violation de données, définies comme le coût quotidien multiplié par la réduction du temps moyen nécessaire pour identifier et contenir la violation au cours des quatre dernières années. Au cours de l’exercice 2018, nous calculons une économie moyenne de 467 657 dollars (5 703 dollars par 82 jours). L’année dernière, les économies sur les coûts extrapolés liés à la violation des données étaient de 394 992 dollars.

Non-BCM (n=215) BCM (n=262)

1 000 dollars

2 000 dollars

3 000 dollars

4 000 dollars

5 000 dollars

6 000 dollars

7 000 dollars

8 000 dollars 6 705 dollars

4 881 dollars

USD

100 000 dollars

USD

200 000 dollars

300 000 dollars

400 000 dollars

500 000 dollars

600 000 dollars

700 000 dollars

500 000 dollars

580 000 dollars

394 992 dollars

467 657 dollars

Exercice 2015 (84 jours) Exercice 2016 (88 jours) Exercice 2017 (78 jours) Exercice 2018 (82 jours)

Figure 5. Coût par jour pour les entreprises BCM et non-BCM Vue consolidée Exprimé en dollars US

Figure 6. Économies totales en impliquant l’équipe de BCM sur quatre ans Vue consolidée Exprimé en dollars US

-

50

100

150

200

250

170

214

52

90

39

70




Dans l’étude de cette année, nous calculons le MTTR. Le MTTR a été créé à partir d’un sous-échantillon de 56 entreprises ayant subi une violation de données au cours de l’exercice 2017 et de l’exercice 2016. Cette variable englobe les frais encourus jusqu’à un an après la limitation probable de la violation de données.

Comme le montre la figure 7, les différences de MTTR entre les groupes BCM et non-BCM sont importantes. Plus précisément, le MTTR des sociétés non BCM est de 70 jours, contre 39 jours pour les sociétés BCM.

La figure 8 montre les coûts totaux moyens de la reprise. À l’instar des conclusions de notre échantillon de 477 entreprises, nous constatons que la catégorie de coûts la plus importante concerne le coût de la perte d’affaires, soit 0,55 million USD. La catégorie de coût la plus faible est la notification avec seulement 20 000 dollars.

MTTI MTTC MTTR

BCM utilisée BCM non utilisée

0,20 $

Détection et escalade

USD

0,40 $

0,60 $

0,80 $

1,00 $

1,20 $

1,40 $

Notification Intervention à posteriori

Coût de la perte d’affaires

Total

0,25

0,02

0,35

0,55

1,17

Figure 7. Temps total pour l’identification, la limitation et la reprise en cas de violation de données Vue consolidée

Figure 8. Quatre éléments de coût du MTTR Vue consolidée En millions de dollars

40 %

39 %

21 %




Processus de reprise manuels ou automatisés ? Le graphique circulaire 5 montre que 40 % des entreprises de notre échantillon déploient des processus de reprise après incident manuels. 39 % indiquent que leur société a déployé un processus de reprise après incident principalement automatisé. Vingt et un pour cent des processus de reprise après incident des entreprises sont automatisés avec orchestration de la résilience. Dans l’analyse de l’an dernier, 16 % seulement des entreprises étudiées utilisaient un processus de reprise après incident automatisé avec orchestration de la résilience.

La reprise automatisée et l’orchestration réduisent le coût par jour d’une violation de données. La figure 9 montre l’impact d’un processus de reprise automatisé sur les coûts. Les entreprises BCM qui utilisent un processus de reprise après incident manuel ont un coût moyen estimé à 6 546 dollars par jour en cas de violation de données. En revanche, les sociétés BCM dotées d’un processus de reprise automatisé enregistrent un coût moyen de 4 133 dollars. Les entreprises qui automatisent le processus de reprise après incident avec orchestration de la résilience, réalisent le coût par jour le plus bas, à savoir 3 100 dollars.

Processus de reprise manuel

Processus de reprise automatisé

Processus de reprise automatisé avec orchestration de la résilience

Reprise manuelle Reprise automatisée Reprise automatisée avec orchestration de la résilience

1 000 dollars

2 000 dollars

3 000 dollars

4 000 dollars

5 000 dollars

6 000 dollars

7 000 dollars

USD

6 546 dollars

4 133 dollars

3 100 dollars

Graphique circulaire 5. Pourcentage de fréquence par type de processus de reprise après incident déployé par les entreprises Vue consolidée (n = 262)

Figure 9. L’impact des processus de reprise sur le coût par jour Vue consolidée Exprimé en dollars US




Facteurs influençant le coût des violations de données. Comme le montre la figure 10, 22 facteurs peuvent soit augmenter (nombres négatifs), soit réduire (nombres positifs) le coût de la violation de données. Ces catégories de coûts se chevauchent. Elles ne peuvent donc pas être additionnées pour estimer les économies totales par personne en se basant sur l’occurrence de ces 22 facteurs.

Par exemple, l’existence d’une solide équipe d’intervention en cas d’incident a entraîné une diminution moyenne du coût par personne d’une violation de données de 14 dollars et la BCM a également diminué le coût moyen d’une violation de données de 9,3 dollars par enregistrement compromis. L’an dernier, les économies de coûts par personne dues à l’utilisation de la BCM s’élevaient à 10,9 dollars.

En revanche, les défaillances en matière de conformité peuvent augmenter les coûts de 11,9 dollars en moyenne. Si la violation s’est produite alors que la société effectuait la migration d’une quantité importante de données vers le cloud, le coût augmente de 11,9 dollars, en raison de la difficulté à déterminer le type des données perdues ou volées.

Cellule de crise

Utilisation importante du chiffrement

Implication de la Continuité des opérations

Formation employés

Participation au partage des informations sur les menaces

Plateforme d’intelligence artificielle

Utilisation de l’analyse de sécurité

Utilisation importante de la prévention des pertes de données

Implication du conseil d’administration

CISO nommé

Schéma de classification des données

Protection des assurances

CPO nommé

Mise à disposition d’une protection d’identité

Consultants engagés

Rapidité de notification

Utilisation intensive d’appareils IoT

Équipements perdus ou volés

Utilisation intensive de plateformes mobiles

Non-conformité réglementaire

Migration importante au sein du cloud

Implication de tiers

Figure 10. Impact de 22 facteurs sur le coût par personne d’une violation de donnéesVue consolidée (n = 477)Exprimé en dollars US

14,0

13,1

9,3

9,3

8,78,2

6,9

6,8

6,5

6,5

5,1

4,81,8

(1,2)

(3,7)

(4,9)(5,4)

(6,5)

(10,0)

(11,9)

(11,9)

(13,4)

(21,0) (16,0) (11,0) (6,0) (1,0) 4,0 9,0 14,0 19,0

13 %

21 %

20 %

22 %

25 %

15 %

20 %

17 %

19 %

29 %

16 %

17 %

18 %

19 %

30 %

15 %

18 %

19 %

17 %

31 %

14 %

18 %

20 %

12 %

35 %




Contribution de la BCM à la planification de la réponse aux incidents. La figure 11 résume l’implication de la BCM dans la planification et l’exécution de la réponse aux incidents de violation de données. Sur les 477 entreprises de cette étude mondiale, 262 utilisent la BCM. Les 215 entreprises restantes n’ont pas fait appel à leur équipe BCM ou n’ont utilisé la BCM que de manière ponctuelle. Dans l’analyse de l’an dernier 54 % des entreprises utilisaient la BCM dans leur intervention en cas de violation de données.

0 % 5 % 10 % 15 % 20 % 25 % 30 % 35 % 40 %

Sert en tant que membre officiel de l’équipe de gestion des incidents

Utilisée de manière informelle ou sur une base ponctuelle

Diriger les efforts de l’équipe de gestion des incidents

Non utilisée

Sert de conseil à l’équipe de gestion des incidents

Exercice 2015 Exercice 2016 Exercice 2017 Exercice 2018Exercice 2014

Figure 11. Comment la BCM contribue-t-elle au processus de réponse aux incidents de violation de données ? Vue consolidée (Exercice 2014=315, Exercice 2015=350, Exercice 2016=383, Exercice 2017=419, Exercice 2018=477)

30 %

35 %

38 %

45 %

50%

51 %

52 %

56 %

57 %

59 %

63 %

76 %

76 %

30 %

30 %

35 %

45 %

46 %

48 %

53 %

54 %

55 %

76 %

72 %

68 %73 %

54 %58 %

54 %

42 %




La figure 12 indique le pourcentage d’implication de l’équipe BCM dans la planification et l’exécution de la réponse aux incidents pour les échantillons nationaux et régionaux. Comme lors des quatre dernières années, l’Allemagne affiche le taux le plus élevé d’implication de la BCM : 76 % des entreprises allemandes déclarent avoir mis en place une équipe de BCM ou de reprise après incident. En revanche, seules 30 % des entreprises turques ont utilisé la BCM. Il est également important de noter que les résultats de l’exercice 2018 sont supérieurs ou égaux à la moyenne sur cinq ans.

0 % 10 % 20 % 30 % 40 % 50 % 60 % 70 % 80 %

Exercice 2018Moyenne sur cinq ans

Allemagne

Japon

Canada*

Royaume-Uni

Australie

France

Etats-Unis

Afrique du Sud*

Italie

Moyen-Orient

Inde

Corée du Sud

ASEAN*

Brésil

Turquie*

Figure 12. Taux d’implication de la BCM par échantillon de pays comparé à la moyenne sur cinq ans Vue consolidée (Exercice 2014=315, Exercice 2015=350, Exercice 2016=383, Exercice 2017=419, Exercice 2018=477) *Les données historiques ne sont pas disponibles pour toutes les années.

135147 149

130139

154 161 167152 157

65 %

30 %

63 %

31 %

66 %

29 %

65 %

30 %

68 %

30 %

10 %

20 %

30 %

40 %

50 %

60 %

70 %

80 %

0 %

5 % 4 % 3 % 4 % 2 % 0 % 2 % 2 % 1 % 0 %




La figure 13 montre le niveau d’implication de la BCM dans la planification et l’exécution des interventions en cas d’incident. Pour l’étude de cette année, 68 % des entreprises considèrent cette implication comme très significative. Un autre ensemble de 30 % estime que la participation de la BCM est significative. Dans l’étude de l’année dernière, 65 et 30% des personnes interrogées considéraient respectivement l’implication de la BCM comme « très significative » ou « significative ».

La BCM réduit le coût par personne d’une violation de données. La figure 14 indique le coût moyen par personne des violations de données sur cinq ans pour les entreprises ayant impliqué l’équipe BCM dans la planification et l’exécution des interventions en cas d’incident, et pour celles qui ne l’ont pas fait. Les sociétés qui ont utilisé la BCM ont constaté un coût par personne inférieur à celui des entreprises qui ne l’ont pas utilisée. Dans l’étude de cette année, la différence du coût par personne pour une violation de données entre les entreprises ayant utilisé la BCM et celles qui ne l’ont pas utilisée est de ± 9,3 dollars. L’an dernier, les économies de coûts par personne pour les entreprises BCM s’élevaient à 10,9 dollars.

Figure 14. Coût par personne d’une violation de données pour les entreprises avec ou sans utilisation de la BCM Vue consolidée (Exercice 2014=315, Exercice 2015=350, Exercice 2016=383, Exercice 2017=419, Exercice 2018=477) Exprimé en dollars US

Très significative Significative Non significative Sans effet




20 dollars

USD

40 dollars

60 dollars

80 dollars

100 dollars

120 dollars

140 dollars

160 dollars

180 dollars

Figure 13. Qu’est-ce qui décrit le mieux la contribution de la BCM au processus de réponse aux incidents ? Vue consolidée (Exercice 2014=315, Exercice 2015=350, Exercice 2016=383, Exercice 2017=419, Exercice 2018=477)




La figure 15 indique le coût total d’une violation de données sur cinq ans pour les entreprises ayant impliqué l’équipe BCM dans la planification et l’exécution des interventions en cas d’incident, et pour celles qui ne l’ont pas fait. À l’instar de ce qui précède, les sociétés ayant utilisé la BCM ont eu un coût total de violation de données inférieur à celui des entreprises ne l’ayant pas utilisée. Dans l’étude de cette année, la différence de coût total entre les entreprises ayant utilisé la BCM et celles qui ne l’ont pas utilisée est de 0,69 million de dollars (4,24 – 3,55). En pourcentage, par rapport à l’année écoulée, le coût par personne a diminué de 10 % pour les sociétés du groupe BCM et de 9 % pour le groupe non BCM.



0,50 $

USD

1,00 $

1,50 $

2,00 $

2,50 $

3,00 $

3,50 $

4,00 $

4,50 $

5,00 $

3,543,32

3,713,35

3,553,72

4,044,29

3,944,24

Figure 15. Coût total de la violation de données pour les entreprises avec ou sans utilisation de la BCM Vue consolidée (Exercice 2014=315, Exercice 2015=350, Exercice 2016=383, Exercice 2017=419, Exercice 2018=477) En millions de dollars




Plus la violation de données est importante, moins l’organisation est susceptible d’en subir une autre au cours des 24 prochains mois. La figure 16 indique la probabilité moyenne qu’une violation de données implique un minimum de 10 000 enregistrements ou plus au cours des 24 prochains mois pour les entreprises impliquant l’équipe BCM et celles qui ne le font pas. La probabilité moyenne d’une violation de données de cette année, pour les 477 entreprises, était de 27,9 %.

Le graphique ci-dessous montre la distribution de la probabilité subjective d’incidents de violation de données impliquant un minimum de 10 000 et un maximum de 100 000 enregistrements compromis sur une période de 24 mois8. Comme on peut le constater, le risque de violation des données diminue progressivement à mesure que le nombre d’enregistrements compromis augmente. La probabilité d’une violation de données impliquant un minimum de 10 000 enregistrements est estimée à environ 27,9 % sur une période de 24 mois. Le risque de violation de données impliquant un maximum de 100 000 enregistrements est inférieur à 1 %.

8 Les probabilités estimées ont été recueillies après de répondants à l’aide d’une technique d’estimation par point. Des cadres occupant des postes-clés (responsables de la sécurité des informations ou CISO, responsable de la confidentialité ou CPO) ayant participé aux entretiens sur l’évaluation des coûts ont fourni leurs estimations de la probabilité d’une violation de données pour 10 niveaux d’incidents (allant de 10 000 à 100 000 enregistrements perdus ou volés). L’échelle de temps utilisée lors de cette tâche d’estimation s’étend sur les 24 prochains mois. Une distribution de probabilité agrégée a été extrapolée pour chacune des 477 sociétés participantes.

Nombre d’enregistrements compromis

Prob

abili

té

Figure 16. Probabilité d’une violation de données compromettant au minimum 10 000 enregistrements et au maximum 100 000 enregistrements

0,300

0,250

0,200

0,150

0,100

0,050

0,000

0,279

0,192

0,141

0,105

0,068

0,0430,033 0,025 0,021 0,015

10.000 20.000 30.000 40.000 50.000 60.000 70.000 80.000 90.000 100.000

63 %

78 %

55 %

76 %

52 %

78 %

55 %

80 %

56 %

75 %

10 %20 %30 %40 %50 %60 %70 %80 %90 %

0 %




Au cours des cinq dernières années, nous avons constaté que les organisations qui impliquaient l’équipe BCM présentaient une probabilité de récurrence plus faible que celles ne faisant pas appel à la BCM. Comme le montre la figure 17, la différence de probabilité d’une ou plusieurs violations importantes de données entre entreprises impliquant et n’impliquant pas la BCM est de 8,9 (32,3 – 23,4) pourcent. La différence de l’année dernière était de 7,8 (31,6 – 23,8) pourcent.

La BCM réduit les interruptions des opérations de l’entreprise en cas de violation de données. La figure 18 montre les différences entre les entreprises avec ou sans implication de la BCM en ce qui concerne des interruptions importantes des processus métier.

Au cours de l’exercice 2018, 78 % des entreprises sans implication de la BCM ont déclaré que l’incident de violation de données avait entraîné des interruptions importantes de leurs processus métier. En revanche, 56 % seulement des entreprises utilisant la BCM ont déclaré avoir subi des interruptions importantes. Une tendance constante apparaît pour les cinq années.





Figure 17. Probabilité d’une violation importante des données pour les entreprises avec ou sans implication de la BCM au cours des 24 prochains mois Vue consolidée (Exercice 2014=315, Exercice 2015=350, Exercice 2016=383, Exercice 2017=419, Exercice 2018=477)

Figure 18. La violation de données a-t-elle entraîné des interruptions importantes pour les processus métier ? Vue consolidée (Exercice 2014=315, Exercice 2015=350, Exercice 2016=383, Exercice 2017=419, Exercice 2018=477)

35,0 %

30,0 %

25,0 %

20,0 %

15,0 %

10,0 %

5,0 %

0,0 %

19,3 %21,1 % 21,9 %

23,8 % 23,4 % 24,7 %27,9 % 29,3 %

31,6 % 32,3 %




La BCM améliore la résilience des opérations informatiques. À l’instar de ce qui précède, la figure 19 montre les différences entre les entreprises avec ou sans implication de la BCM en ce qui concerne des perturbations importantes des activités informatiques. Comme indiqué pour l’exercice 2018, 69 % des entreprises sans implication de la BCM ont déclaré que l’incident de violation de données avait provoqué des interruptions importantes des opérations informatiques. En revanche, 58 % seulement des entreprises utilisant la BCM ont déclaré que l’incident avait entraîné des interruptions importantes des activités informatiques. Les résultant affichent une tendance constante sur les cinq années.

La BCM peut protéger la réputation d’une entreprise suite à une violation de données. La figure 20 montre la différence dans la capacité à protéger la réputation de l’entreprise après une violation de données. Dans l’étude de cette année, 65 % des entreprises sans programme de BCM ont déclaré que la violation de données avait eu un impact négatif important sur la réputation de l’entreprise, sa marque ou son image. En revanche, 50 % seulement des entreprises utilisant la BCM ont déclaré que l’incident avait eu un impact négatif sur leur réputation ou leur marque. Les résultats montrent une tendance constante pour les cinq années.





Figure 19. La violation de données a-t-elle entraîné des interruptions importantes pour les opérations informatiques ? Vue consolidée (Exercice 2014=315, Exercice 2015=350, Exercice 2016=383, Exercice 2017=419, Exercice 2018=477)

Figure 20. La violation de données a-t-elle eu un impact négatif important sur la réputation ? Vue consolidée (Exercice 2014=315, Exercice 2015=350, Exercice 2016=383, Exercice 2017=419, Exercice 2018=477)

57 %67 %

52 %

74 %

56 %

75 %

56 %

72 %

58 %69 %

10 %20 %30 %40 %50 %60 %70 %80 %

0 %

45 %

55 %49 %

58 %51 %

60 %52 %

62 %

50 %

65 %

10 %

20 %

30 %

40 %

50 %

60 %

70 %

0 %




Coût total d’une « violation massive » Pour la première fois cette année, nous essayons de mesurer le coût de violations de données impliquant plus d’un million d’enregistrements compromis (ou violations massives). Notre modèle de coûts est basé sur l’analyse de 11 entreprises ayant subi une violation massive.

Nous avons effectué une simulation de Monte Carlo afin de prédire la valeur de l’exposition possible d’une entreprise à la suite d’une violation massive de données, découverte à un moment quelconque au cours des quatre dernières années. Cette violation devait toucher 1 à 50 millions d’enregistrements de consommateurs. Avec cette méthode, nous pouvons estimer le coût total et le coût par personne de la violation massive. Comme le montre la figure 21, cette analyse révèle une courbe de coût parabolique, dans laquelle le taux d’augmentation des coûts s’aplanit lorsque la taille de la violation approche les 50 millions d’enregistrements.

50 000 0000 $

USD

100 000 0000 $

150 000 0000 $

200 000 0000 $

250 000 0000 $

300 000 0000 $

350 000 0000 $

400 000 0000 $

450 000 0000 $

Nombre d’enregistrements compromis (0 à 50 millions)

Exposition due à une violation de données

Régression

Figure 21. Courbe de coût simulée d’une violation massive Exprimé en dollars US




La figure 22 montre l’intervalle de précision non paramétrique pour six niveaux de violation de données, compris entre 1 et 50 millions d’enregistrements perdus ou volés.

50USD

100150200250300350400450500

1 million29,6239,4949,36

10 millions110,77147,70184,62

20 millions149,87199,83249,79

30 millions209,48279,31349,14

40 millions243,95325,27406,58

50 millions262,83350,44438,06

Limite inférieure

Limite supérieureCoût total moyen

Limite inférieure

Coût total moyenLimite supérieure

S’appuyant sur notre structure de coûts traditionnelle, associée à une simulation de Monte Carlo, le tableau 2 présente quatre éléments de coûts d’une violation de données compilés à partir de 11 entreprises ayant subi une violation massive.

Tableau 2. Quatre éléments de coût d’une violation massive

Nombre d’enregistrements

compromis

Détection et escalade Notification Intervention à

posteriori Coût de la

perte d’affaires

Coût total(millions de

dollars)

1 000 000 11 682 870 567 130 12 225 694 15 012 731 39 488 426

10 000 000 44 851 852 1 878 009 48 039 120 52 926 157 147 695 139

20 000 000 62 481 481 3 174 306 67 170 833 67 005 556 199 832 176

30 000 000 88 407 407 4 151 389 91 763 194 94 989 352 279 311 343

40 000 000 102 537 037 5 903 009 106 411 343 110 413 657 325 265 046

50 000 000 110 998 725 6 498 576 115 028 472 117 919 213 350 444 986

Figure 22. Intervalle de précision au niveau de confiance de 95 % En millions de dollars




La figure 23 montre le coût total estimé pour six niveaux de de violation de données, allant de un à 50 millions de documents perdus ou volés. En utilisant notre cadre de coûts pour une violation massive, une violation de données impliquant 1 million d’enregistrements compromis donne un coût total de 39,49 millions de dollars. À 50 millions d’enregistrements, nous estimons le coût total à 350,44 millions de dollars.

La figure 24 montre le coût estimé par personne d’une violation massive de données selon six niveaux de violation, compris entre 1 et 50 millions de documents perdus ou volés. Selon notre cadre, une violation de données impliquant 1 million d’enregistrements compromis donne un coût par enregistrement de 41,55 dollars. À 50 millions d’enregistrements, nous estimons un coût par personne de 7,63 dollars. Il est à noter que le coût par personne se stabilise au-delà de 50 millions d’enregistrements. La principale raison de cette relation inverse entre coût par personne et taille de la violation est liée au fait qu’une part substantielle du coût total est fixe – et non variable.

1 million 10 millions 20 millions 30 millions 40 millions 50 millions

Coût total (millions de dollars)

50

USD

100

150

200

250

300

350

400

39,49

147,70

199,83

279,31

325,27350,44

1 million 10 millions 20 millions 30 millions 40 millions 50 millions

5

USD

10

15

20

25

30

35

40

4541,55

15,64

10,12 9,27 8,66 7,63

Coût par personne (dollars)

Figure 23. Coût total moyen d’une violation massive En millions de dollars

Figure 24. Coût par personne d’une violation massive Exprimé en dollars

197

69

266 256

109

365

-

50

100

150

200

250

300

350

400




Comparaison de l’échantillon principal des entreprises ayant subi une violation de données avec celles ayant subi une violation massive. La figure 26 montre le MTTI et le MTTC d’une violation de données pour notre échantillon principal de 477 entreprises, par rapport à notre échantillon réduit de 11 entreprises ayant subi une violation massive.

La figure 25 montre le MTTI consolidé des violations de données à 197 jours (échantillon principal) contre 256 jours (échantillon des violations massives). De même, l’échantillon principal montre le MTTC consolidé de la violation de données à 69 jours, contre 109 jours pour l’échantillon des violations massives. L’échantillon des violations massives montre un total de 365 jours pour identifier et contenir la violation de données, soit 99 jours de plus que l’échantillon principal.

Temps moyen d’identification (MTTI)

Temps moyen de limitation (MTTC)

Temps écoulé combiné

Échantillon des violations importantes (n=477)

Échantillon des violations massives (n=11)

Figure 25. Nombre moyen de jours nécessaires pour identifier et contenir la violation pour l’échantillon principal et l’échantillon des violations massives Vue consolidée

Partie 3. Comment nous calculons le coût des violations de données



Partie 3. Comment nous calculons le coût des violations de données Pour calculer le coût d’une violation des données, nous utilisons une méthodologie d’évaluation des coûts appelée ABC (activity-based costing) ou chiffrage des coûts par activité. Cette méthodologie identifie les activités et leur affecte un coût en fonction de leur utilisation réelle. Nous demandons aux sociétés participant à l’étude comparative d’estimer le coût de toutes les activités nécessaires pour résoudre la violation de données. Les activités typiques pour la découverte et l’intervention immédiate en cas de violation de données sont les suivantes :

> Réalisation d’enquêtes et d’investigations légales pour déterminer l’origine de la violation de données > Recherche des victimes probables de la violation de données > Organisation de la cellule de crise > Mise en place de la communication et des relations publiques > Préparation des documents de notification et des autres communications obligatoires à l’attention

des victimes de la violation de données et des organismes de réglementation > Mise en place des procédures des centres d’appel et d’une formation spécialisée

Les activités les plus courantes suite à la découverte sont les suivantes :

> Services de conseil et d’audit > Services juridiques pour la défense de la société > Services juridiques pour la conformité > Services gratuits ou à prix réduit proposés aux victimes de la violation de données > Services de protection des identités > Estimation de la perte de clientèle calculée d’après le taux de rotation ou d’attrition des clients > Acquisition des clients et coûts des programmes de fidélisation

Lorsqu’une société a estimé la plage de coûts de ces activités, nous catégorisons alors les coûts comme directs et indirects, comme indiqué ci-dessous.

> Coûts directs – sorties de fonds directes permettant de réaliser une activité donnée. > Coûts indirects – temps passé, activités et autres ressources organisationnelles consacrées à la résolution

de la violation de données, mais pas sous forme de sorties de fonds directes.

Notre étude examine également les principales activités liées aux processus qui entraînent diverses dépenses associées aux opérations de détection, d’intervention, de limitation et de résolution d’une violation de données. Les coûts de chaque activité sont présentés dans la section Principales conclusions (Partie 2). Les quatre centres de coût sont les suivants :

> Détection et escalade : Activités qui permettent à une société de détecter raisonnablement une violation de renseignements personnels exposés à un risque (données stockées) ou en mouvement et de signaler la violation d’informations protégées au personnel approprié dans un délai spécifié.

> Notification : Activités qui permettent à la société d’avertir les victimes de la perte et du vol des données par courrier, téléphone, e-mail ou via un avis général. Sont également inclus les coûts liés à la communication avec les régulateurs de la protection des données et autres parties connexes.

> Intervention à posteriori : Communication avec les victimes d’une violation pour les aider à minimiser les dommages potentiels et autres formes d’assistance, telles que la surveillance des rapports de crédit ou la création d’un nouveau compte ou d’une nouvelle carte de crédit.

> Perte d’affaires : Activités qui tentent de minimiser la perte de clients due à la violation de données. Ces activités incluent le nombre estimé de clients ciblés qui n’auront pas de relation avec la société suite à la violation de données. Ce nombre est présenté sous la forme d’un pourcentage annuel (taux de rotation). Sont également inclus dans cette catégorie les coûts d’acquisition de nouveaux clients et les coûts liés à l’interruption de l’activité et à la perte de revenus.

Partie 4. Caractéristiques organisationnelles



Partie 4. Caractéristiques organisationnelles Le graphique circulaire 6 montre la répartition des entreprises de l’étude par effectif. Le segment le plus important comprend les entreprises de 1 001 à 5 000 employés. Le plus petit segment comprend les entreprises de plus de 75 000 employés.

Graphique circulaire 6. Effectif global des entreprises participantes Vue consolidée (n = 477)

Figure 26. Le graphique ci-dessous montre une corrélation systématique entre la taille de l’organisation, mesurée par l’effectif global et le coût total d’une violation de données. Pour les entreprises de moins de 500 équivalents temps plein, le coût total de la violation de données s’élève à 2,17 millions de dollars, contre 7,11 millions de dollars pour les entreprises de plus de 75 000 employés.

Moins de 500

0,00 $

1,00 $

2,00 $

3,00 $

4,00 $

5,00 $

6,00 $

7,00 $

8,00 $

Moins de 500

Coût total moyen (millions de dollars)

500 à 1 000

1 001 à 5 000

5 001 à 10 000

10 001 à 25 000

25 001 à 75 000

Plus de 75 000

2,172,50

3,454,09

6,23 6,00

7,11

501 à 1 000

1 001 à 5 000

5 001 à 10 000

10 001 à 25 000

25 001 à 75 000

Plus de 75 000

Figure 26. Coût total moyen de la violation de données par effectif global (taille)

12 %

20 %

26 %

21 %

6 %7 %

8 %

Partie 4. Caractéristiques organisationnelles



Les méthodes de collecte des données ne comprenaient pas d’informations comptables à proprement parler, mais des estimations numériques déterminées par les connaissances et l’expérience de chaque participant. L’outil de comparaison demandait aux répondants d’estimer les coûts directs dans chaque catégorie de coût en inscrivant une variable de plage définie selon le format de ligne numérique suivant.

Indiquez ici votre estimation des coûts directs de [catégorie de coût]

La valeur numérique obtenue avec cette ligne, et non une estimation chiffrée précise correspondant à chaque catégorie de coût présentée, a permis de préserver la confidentialité et a garanti un taux de réponse plus important. L’outil de comparaison demandait aussi aux répondants de fournir une seconde estimation des coûts indirects et des coûts d’opportunité, et ce séparément.

Pour conserver une taille gérable pour le processus de benchmarking, nous nous en sommes tenus aux centres de coûts que nous avons jugés essentiels pour mesurer une violation de données. Suite à des entretiens avec des spécialistes, nous avons finalisé un jeu fixe de domaines de coûts. Lors de la collecte des informations de l’étude comparative, nous avons soumis de nouveau les outils à un examen minutieux pour être certains qu’ils étaient complets et homogènes.

Pour des raisons de confidentialité, l’outil de comparaison a évité toute information spécifique aux sociétés interrogées. Les réponses ne mentionnaient aucun code de suivi ou autres indices susceptibles de déterminer l’identité des sociétés.

La portée des postes des coûts des violations de données dans notre outil de comparaison était limitée à des catégories de coût connues, s’appliquant à une large palette d’opérations métier appelées à gérer des informations personnelles. Nous avons jugé qu’une étude privilégiant les processus métier, et non les activités de protection des données ou de conformité à la confidentialité, donnerait des résultats de meilleure qualité.

La ligne numérique fournie sous chaque catégorie de coût de la violation de données permet d’obtenir la meilleure estimation possible de la somme des sorties de fonds, des frais de main-d’œuvre et des frais généraux encourus. Marquez un seul point situé entre la limite supérieure et inférieure indiquées ci-dessous. Vous pouvez redéfinir ces limites à tout moment pendant l’entretien.

Comment utiliser la ligne numérique

LI LS

Partie 5. Limitations



Partie 5. Limitations

Notre étude utilise une méthode confidentielle de comparaison développée par nos soins et qui s’est révélée concluante dans nos études antérieures. Cependant, certaines restrictions inhérentes à cette étude comparative doivent être examinées avec attention avant de tirer des conclusions à partir des résultats présentés.

> Résultats non statistiques : Notre étude se fonde sur un échantillon représentatif et non statistique de sociétés du monde entier, ayant subi une violation entraînant le vol ou la perte de données ou d’enregistrements de clients ou de consommateurs au cours des 12 derniers mois. Ces données ne peuvent donner lieu à des inférences statistiques, des marges d’erreur ou des intervalles de confiance car nos méthodes d’échantillonnage ne sont pas scientifiques.

> Absence de réponse : Les résultats obtenus se basent sur un petit échantillon représentatif. Dans cette étude internationale, 477 sociétés ont répondu à l’enquête. Nous n’avons pas testé le taux de non-réponse et il est donc toujours possible que les coûts sous-jacents des violations de données présentent des différences importantes dans les sociétés n’ayant pas participé.

> Influence de la nature de l’échantillonnage : Notre échantillonnage résultant d’un choix délibéré, la qualité des résultats est influencée par le fait que cet échantillonnage est représentatif des sociétés étudiées. Nous pensons que cet échantillonnage privilégie les sociétés ayant mis en place des programmes plus matures de confidentialité ou de sécurité de l’information.

> Informations spécifiques aux sociétés : Les informations de cette étude comparative sont sensibles et confidentielles. L’outil utilisé ne consigne donc aucune information susceptible d’aider à identifier la société interrogée. Le processus de recherche exige des individus l’utilisation de variables de réponse catégoriques ou agrégées pour communiquer des informations démographiques sur la société et les répondants individuels.

> Facteurs non mesurés : Pour garantir un script d’interview concis et concentré, nous avons décidé d’omettre certaines variables importantes de nos analyses, telles que les tendances majeures et les caractéristiques organisationnelles. Il n’est pas possible de déterminer dans quelle mesure les variables omises pourraient expliquer les résultats de l’étude comparative.

> Résultats des coûts extrapolés : La qualité des résultats de l’enquête dépend de l’intégrité des réponses confidentielles reçues de la part des répondants. Même s’il est possible d’intégrer certains équilibrages et certaines vérifications à l’étude, il est toujours envisageable que certaines réponses ne soient pas honnêtes ou exactes. En outre, l’utilisation des méthodes d’extrapolation des coûts et non de données de coût réelles peut introduire accidentellement un biais et des inexactitudes.

Contact



Si vous avez des questions ou des commentaires sur ce rapport ou si vous souhaitez en obtenir des exemplaires supplémentaires (et notamment l’autorisation de le citer ou de le réutiliser), veuillez nous contacter par courrier, téléphone ou email :

Ponemon Institute LLCAttn: Research Department2308 US 31 NorthTraverse City, Michigan 49686 [email protected]

Ponemon InstitutePour la promotion d’une gestion responsable de l’information

Le Ponemon Institute est un institut indépendant spécialisé dans la recherche et la formation, dans le but de promouvoir des pratiques responsables de gestion de l’information et de la confidentialité dans le secteur public et privé. Notre mission est de réaliser des études empiriques et de haute qualité sur les enjeux critiques qui impactent la gestion et la sécurité des informations sensibles des particuliers et des sociétés.

Nous appliquons des normes strictes de protection des données, de confidentialité et de recherche éthique. Nous ne recueillons pas d’informations identifiant la personne auprès des répondants, particuliers ou sociétés. En outre, nous appliquons des normes de qualité strictes afin d’éviter que des questions superflues, hors sujet ou inappropriées soient posées aux répondants.

mailto:[email protected]

Documents

Ponemon Institute Étude 2018 sur le coût des violations de