Le coût d’une violation de données en 2022 et les communications de contenu sensible
Dans leur dernier rapport annuel « Cost of a Data Breach Report », IBM et le Ponemon Institute ont constaté que le coût moyen d’une violation de données a augmenté en 2022, atteignant en moyenne 4,35 millions de dollars (soit une hausse de 2,6 % par rapport à 4,24 millions de dollars en 2021). Plus de 8 organisations sur 10 interrogées admettent avoir été touchées par plus d’une violation au cours de leur existence. Ce n’est que le coût moyen, cependant ; il existe de nombreuses histoires d’horreur issues de violations graves, avec des entreprises laissées sous le choc de pertes de plusieurs millions de dollars, de dommages à la marque et même de batailles juridiques pour des violations de conformité réglementaire, y compris des amendes lourdes infligées par les agences de régulation. Bien sûr, les attaques sur la supply chain sont devenues de plus en plus fréquentes au cours des deux dernières années, ce qui exacerbe encore davantage le coût potentiel d’une violation de données.
Qu’est-ce qu’une violation de données ?
Une violation de données est un accès ou une divulgation non autorisée d’informations confidentielles. Les violations de données peuvent survenir lorsque les communications de contenu sensible sont interceptées, lorsque la conformité des données n’est pas respectée ou lorsque la confidentialité des données n’est pas suffisamment protégée. Certains des types les plus courants de violations de données se produisent via les communications par e-mail, qui peuvent être facilement interceptées par des attaquants tiers via des attaques de type man-in-the-middle, phishing, vol d’identité, compromission de messagerie professionnelle ou logiciels malveillants.
Les violations de données peuvent également survenir en raison de menaces internes, qu’elles soient intentionnelles ou accidentelles. Une élimination incorrecte des données et la perte ou le vol d’équipements sont d’autres causes. Les types de violations de données varient en fonction des données compromises et de la manière dont elles ont été obtenues. Les communications de contenu sensible contiennent des informations telles que des numéros de carte de crédit, des numéros de sécurité sociale, des détails de comptes bancaires et d’autres types d’informations personnelles identifiables (PII). En réponse à la fréquence des attaques et des violations réussies, diverses organisations gouvernementales et industrielles ont adopté des lois et réglementations sur la confidentialité des données. Des exemples de ces lois et réglementations incluent la loi sur la portabilité et la responsabilité en matière d’assurance maladie (HIPAA), le Règlement Général sur la Protection des Données (RGPD), la Data Protection Act 2018 et la loi californienne sur la protection de la vie privée des consommateurs (CCPA).
Pour les individus, la confidentialité des données est le droit de déterminer qui a accès à ses données personnelles et ce qu’ils peuvent en faire. Les organisations doivent s’assurer qu’elles disposent des contrôles et du suivi appropriés pour démontrer un journal d’audit immuable montrant que les données privées des clients, des employés et des partenaires sont protégées. La confidentialité des données s’étend également aux informations que les organisations utilisent pour gérer leur activité : données de recherche clinique pour les produits pharmaceutiques, plannings et plans de production pour les fabricants, code logiciel et plans stratégiques de mise sur le marché pour les entreprises technologiques, et détails de la supply chain et logistiques pour les détaillants, pour n’en nommer que quelques-uns.
Les organisations doivent protéger leurs communications de contenu sensible en les chiffrant et en permettant uniquement aux parties autorisées d’y accéder, de les envoyer, de les partager et de les modifier. Le contenu sensible envoyé par e-mail, partage sécurisé de fichiers, formulaire web, transfert sécurisé de fichiers et interfaces de programmation d’applications (API) doit être protégé en transit ainsi qu’au repos. Par exemple, un e-mail contenant des informations privées en transit doit être chiffré lorsqu’il est envoyé et rester ainsi lorsqu’il est stocké. De plus, si des équipements perdus ou volés contiennent des communications de contenu sensible, les organisations doivent s’assurer que ces appareils sont effacés à distance avant d’être réutilisés ailleurs pour éviter les fuites d’informations privées provenant d’autres sources.
Quel est le coût d’une violation de données ?
Avec l’augmentation du coût et de la fréquence des violations de données, il est plus important que jamais d’avoir un plan en place pour protéger vos communications de contenu sensible. Le rapport d’IBM et du Ponemon Institute a révélé que des informations critiques telles que les dossiers des clients ou des employés sont les plus à risque de perte ou de vol, avec 89 % de tous les incidents de sécurité les impliquant. De plus, 60 % de tous les incidents signalés ont entraîné au moins une perte ou un vol d’informations critiques. En même temps, le rapport a révélé que 60 % des organisations touchées par des violations de données ont augmenté leurs prix en raison de la violation ; cela est préoccupant dans des circonstances normales et encore plus compte tenu de l’inflation déjà galopante et des problèmes de supply chain.
Ces statistiques sont suffisamment alarmantes, mais elles n’incluent même pas les coûts associés aux temps d’arrêt, aux perturbations opérationnelles et aux problèmes de conformité. Pour les communications de contenu sensible, une plateforme consolidée avec une approche de défense en profondeur qui inclut le chiffrement de bout en bout, une appliance durcie et l’authentification multifactorielle, entre autres éléments de sécurité, est d’une importance vitale. Gérer votre messagerie électronique, partage de fichiers, SFTP, SMTP, MFT, formulaires web et API à partir d’une seule plateforme permet à votre organisation d’instituer et d’appliquer des politiques standard sur chaque canal de communication, tout en évitant la nécessité de créer des visuels sur chaque silo. Cela peut être difficile pour les organisations qui sont déjà à la peine pour recruter et retenir du personnel IT, de sécurité et de conformité.
À quelle fréquence les violations de données se produisent-elles ?
Les violations de données deviennent de plus en plus courantes. L’année dernière seulement, 6 milliards de dossiers ont été compromis, et à mesure que les entreprises continuent de collecter plus de données sur leurs clients, ce nombre devrait croître régulièrement au fil du temps. Les organisations devraient prendre ces chiffres en considération lorsqu’elles examinent leurs mesures de cybersécurité, car elles pourraient être à risque d’une violation de données potentielle leur coûtant beaucoup plus d’argent qu’auparavant si cela n’est pas fait correctement dès le départ. Les violations de données peuvent causer de nombreux problèmes tels que le déclin des revenus ou des poursuites judiciaires. Avec les violations de données qui continuent de se produire régulièrement et ne montrent aucun signe de ralentissement, la meilleure chose que les organisations puissent faire est de se sécuriser en prenant du recul pour analyser où se trouvent les vulnérabilités dans leurs systèmes.
Qui est derrière les violations de données ?
Les tentatives constantes des cybercriminels pour voler des informations sensibles et les efforts des États-nations malveillants pour acquérir des informations classifiées rendent de plus en plus difficile pour les organisations de garder leurs données en sécurité dans le paysage numérique en constante évolution. Il existe de nombreuses mesures préventives que les organisations peuvent prendre pour éviter une violation de données. Les cybercriminels—ou acteurs malveillants—opèrent sous différents niveaux de risque ; certains créent des ransomwares et demandent de l’argent aux victimes tandis que d’autres vendent des données personnelles collectées sur le marché noir ou rançonnent les informations collectées aux victimes. Les États-nations voyous ont également été accusés de voler des informations confidentielles tant des entreprises privées que des entités gouvernementales.
Comment les violations de données créent des défis en matière de confidentialité et de conformité des données
Bien que les violations de données créent des défis de conformité pour les organisations, leur complexité a augmenté ces dernières années à mesure que les organismes de réglementation gouvernementaux et industriels instituent de nouvelles réglementations de conformité pour protéger les données privées des cybercriminels malveillants et des États-nations voyous. En conséquence, il est plus important que jamais pour les organisations de prendre des mesures pour protéger leurs données et s’assurer qu’elles sont conformes à toutes les réglementations pertinentes. Une approche de gestion des risques de cybersécurité est un point de départ important. Pour les communications de contenu sensible, les organisations doivent avoir les bonnes pratiques en place pour identifier, contrôler, atténuer et équilibrer les menaces. Un modèle de gestion des risques de cybersécurité doit inclure le contrôle de qui accède aux informations privées, qui peut les modifier, qui est informé lorsque des changements ont lieu, et à qui elles peuvent être envoyées ou partagées. Ces politiques de confidentialité des données doivent être mises en œuvre et gérées de manière centralisée, permettant aux organisations de prouver la conformité aux réglementations telles que HIPAA, RGPD, CCPA et la Data Protection Act 2018.
Comment le coût des violations de données varie selon les segments d’industrie et les régions
Les violations de données peuvent coûter des millions de dollars aux organisations dans différents segments d’industrie. Selon IBM et le Ponemon Institute, selon l’industrie, le coût moyen par dossier perdu ou volé peut varier de 148 $ (dans le secteur de la santé) à 258 $ (dans le secteur manufacturier).
Les coûts des violations dans le secteur de la santé ont dépassé tous les autres secteurs pendant 12 années consécutives, atteignant 10 millions de dollars par violation en 2022, soit une augmentation de 41,6 % par rapport à 2020. Les entreprises de services financiers viennent ensuite avec 5,97 millions de dollars par violation, suivies par les produits pharmaceutiques à 5,01 millions de dollars, la technologie à 4,97 millions de dollars et l’énergie à 4,72 millions de dollars.
Le fait que les secteurs de la santé et des services financiers soient peut-être les deux industries les plus réglementées pourrait être lié au coût plus élevé ; à savoir, une visibilité accrue et des amendes et pénalités plus élevées équivalent à des coûts de violation plus élevés. Certainement, pour les communications de contenu sensible avec des tiers, les institutions de santé et financières estiment qu’elles sont mal préparées, avec seulement la moitié des entreprises financières et 45,5 % des organisations de santé estimant qu’elles sont bien protégées contre les risques de communication de contenu avec des tiers.
Pour les coûts de violation de données, les États-Unis arrivent en tête de liste des pays avec 9,44 millions de dollars, suivis par le Moyen-Orient à 7,46 millions de dollars, le Canada à 5,64 millions de dollars, le Royaume-Uni à 5,05 millions de dollars et l’Allemagne à 4,85 millions de dollars. Le Brésil a connu une augmentation alarmante en 2022, passant de 1,08 million de dollars à 1,38 million de dollars cette année.
Malgré les nouvelles ci-dessus, il existe des moyens pour les entreprises de se préparer à d’éventuelles cyberattaques et de réduire considérablement leur exposition au risque, à la fois de manière proactive grâce à des mesures de cybersécurité améliorées et de manière réactive grâce à des temps de détection et de réponse aux incidents plus rapides. Pour la protection des communications de contenu sensible, cela nécessite l’intégration d’outils—de préférence une plateforme—dans des solutions de détection et de réponse aux incidents proactives telles que la gestion des informations et des événements de sécurité (SIEM) et les systèmes d’orchestration, d’automatisation et de réponse de sécurité (SOAR). Les implications des violations de données sur la marque peuvent avoir un impact plus important sur certains segments d’industrie. Par exemple, les détaillants doivent anticiper comment une violation de données affectera la fidélité et la confiance des clients, ainsi que d’autres facteurs tels que la réputation de l’entreprise, la performance financière à long terme et le cours de l’action. Quelle que soit l’industrie, la capacité d’une entreprise à réagir rapidement à une violation de données peut aider à déterminer si elle se rétablira rapidement ou subira des dommages irréparables.
Pourquoi un réseau de contenu privé est essentiel pour protéger les données sensibles
Alors que le coût des violations de données continue d’augmenter, il est plus important que jamais d’avoir un réseau de contenu privé en place pour protéger les communications de contenu sensible. Un réseau de contenu privé réduit la probabilité de violations de données non structurées en fournissant une gouvernance, une conformité et une sécurité centralisées. De cette façon, vous pouvez être sûr que vos données sont sûres et sécurisées et que vous n’êtes pas en violation des réglementations de conformité. Le coût de la remédiation d’une violation de données continue de croître, et donc la réduction des violations de données non structurées liées aux communications de contenu sensible est de plus en plus importante.
La plateforme Kiteworks permet aux clients de créer un réseau de contenu privé qui unifie, contrôle, suit et sécurise les données sensibles telles que les PII, les dossiers financiers, la propriété intellectuelle critique, les informations juridiques privées, et plus encore. Kiteworks permet aux organisations d’établir et d’appliquer leurs propres politiques de sécurité et de conformité qui régissent toutes leurs communications de contenu numérique. Cela leur permet également de produire des journaux d’audit liés aux communications de contenu privé pour les réglementations de conformité et de démontrer la conformité réglementaire aux clients recherchant des solutions répondant aux normes de l’industrie telles que FedRAMP Authorized et le programme d’évaluateurs enregistrés en sécurité de l’information (IRAP).
Pour savoir comment un réseau de contenu privé activé par Kiteworks peut aider votre organisation à atténuer le risque d’une violation de données, réservez une démo personnalisée dès aujourd’hui.
Ressources supplémentaires
- Livre blancGérez votre risque d’exposition à la confidentialité des données pour 2023
- RapportÉvaluez la confidentialité et la conformité de vos communications de contenu sensible
- Fiche techniqueComment créer un réseau de contenu privé conforme à l’IRAP
- Article de blogMeilleurs cas d’utilisation du partage sécurisé de fichiers dans les industries
- Article de blog12 exigences essentielles pour les logiciels de partage sécurisé de fichiers