3 facteurs d'augmentation des coûts et risques de violation de données dans le rapport 2023 d'IBM sur le coût d'une violation de données

3 facteurs d’augmentation des coûts et risques de violation de données dans le rapport 2023 d’IBM sur le coût d’une violation de données

Le Rapport 2023 sur le coût d’une violation de données d’IBM fournit des informations cruciales sur l’évolution du paysage des menaces de cybersécurité et les coûts associés pour les organisations à travers le monde.

Tout comme les professionnels de la cybersécurité et de la gestion des risques utilisent le Rapport sur les enquêtes relatives aux violations de données de Verizon pour identifier les tendances des menaces, le rapport d’IBM, réalisé par le Ponemon Institute, est un baromètre de l’impact financier, de la marque et de la conformité des violations de données en résultant. Les deux rapports nous fournissent tous un double coup de poing et une télémétrie fiable pour mesurer la posture des risques.

Vous avez confiance en la sécurité de votre organisation. Mais pouvez-vous la vérifier ?

Lire maintenant

Coût des violations de données et mesure de la confidentialité et de la conformité des communications de contenu sensible

Le rapport de cette année d’IBM, publié pendant 18 années consécutives, introduit certaines évolutions significatives en termes de vecteurs d’attaque et d’implications de coût qui nécessitent un examen. Ce billet de blog vise à examiner et à résumer les points clés du rapport, en se concentrant sur le coût moyen des violations de données, l’effet des différentes pratiques de sécurité sur ces coûts, les différents types de données que les cybercriminels et les États voyous ciblent, et l’augmentation des attaques sur la chaîne d’approvisionnement logicielle. Quelques-uns des constats globaux les plus notables incluent :

  • Le coût des violations de données a atteint un record de 4 milliards de dollars US 45 millions
  • L’industrie de la santé a de nouveau mené la pack, pour la 13e année consécutive, subissant un coût moyen de 10.93 millions de dollars US par violation de données
  • 82 % des violations impliquaient des données dans le cloud—public, privé, ou plusieurs environnements
  • Plus le temps de séjour est long, plus le coût d’une violation de données est élevé : différence de coût moyen entre les violations qui ont pris plus de 200 jours à découvrir et à résoudre et celles qui ont pris moins de 200 jours : US$1.02 millions
  • Seulement la moitié des organisations sont disposées à dépenser plus en sécurité

En même temps, ayant tout juste publié notre Rapport annuel sur la confidentialité et la conformité des communications de contenu sensible, les lecteurs trouveront probablement intéressant d’évaluer certaines de nos découvertes en parallèle avec celles contenues dans le rapport d’IBM.L’analyse détaillée vise à approfondir les principales conclusions du rapport d’IBM et à établir les parallèles et les divergences dans leurs conclusions, fournissant ainsi une compréhension complète du scénario actuel de la cybersécurité.

Attaques contre la chaîne d’approvisionnement logicielle

L’une des observations les plus frappantes du rapport d’IBM était l’incidence des attaques contre la chaîne d’approvisionnement logicielle comme source de violations de données..Ces attaques impliquent des acteurs malveillants infiltrant le réseau d’un fournisseur de logiciels et manipulant le logiciel pour compromettre les données ou les systèmes de ses clients. Alors que précédemment, les menaces étaient souvent considérées comme des violations externes ciblant directement l’infrastructure d’une entreprise, la nouvelle vague d’attaques est plus insidieuse.

Le rapport d’IBM révèle que la chaîne d’approvisionnement logicielle était à l’origine de 12% des violations de données de cette année passée ..Cela représente un changement notable dans les méthodes de cyberattaques et souligne le besoin pour les organisations de réévaluer leurs mesures de sécurité à travers leurs chaînes d’approvisionnement logiciel. Les attaques sur la chaîne d’approvisionnement logiciel démontrent comment les vulnérabilités dans l’écosystème numérique peuvent causer des dommages étendus.

Notamment, les attaques de transfert sécurisé de fichiers, comme celles sur GoAnywhere et MOVEit, illustrent ce nouveau type de menace.Ces cyberattaques peuvent exposer des données sensibles dans une multitude d’industries, affectant des centaines voire des milliers d’entreprises simultanément. Il est essentiel que les organisations examinent les pratiques de sécurité de leurs fournisseurs de logiciels et envisagent de mettre en œuvre des mesures de cybersécurité renforcées pour se protéger contre ces menaces émergentes.

Attaques de partenaires commerciaux / tiers

En se basant sur les conclusions concernant la chaîne d’approvisionnement logicielle, le rapport d’IBM a découvert que les partenaires commerciaux tiers représentent également un risque significatif de violation de données : 15% des organisations les ont identifiés comme la source d’une violation de données. Les compromissions de la chaîne d’approvisionnement des partenaires commerciaux ont coûté en moyenne US$4.76 millions par violation de données, soit 11.8% de plus que le coût moyen d’une violation de données. L’une des raisons, selon IBM, est le long temps de séjour : il a fallu en moyenne 233 jours pour identifier et 74 jours pour contenir les compromissions de la chaîne d’approvisionnement des partenaires commerciaux. C’est 37 jours, soit 12.8%, de plus que la durée moyenne d’une violation de données.

Cela correspond certainement à ce que nous avons signalé dans l’étude de Kiteworks..Un stupéfiant 84% ont déclaré qu’au moins une certaine amélioration est nécessaire dans la gestion des risques de leur organisation concernant les communications avec les tiers. Plus de 4 sur 10 ont déclaré qu’une amélioration significative est nécessaire, certains allant même jusqu’à dire qu’ils ont besoin d’une véritable “rénovation”

Trois Amplificateurs de Coût et Risque de Violation de Données

Le rapport IBM montre que le coût moyen mondial d’une violation de données a atteint $4.45 millions, marquant une augmentation de 15% au cours des trois dernières années. L’impact de divers amplificateurs de coûts sur ce coût moyen a également été examiné par l’Institut Ponemon. Des comparaisons ont été faites entre les organisations ayant les niveaux les plus élevés et les plus bas d’amplificateurs de coûts de premier plan, offrant des perspectives sur les répercussions financières de différents niveaux de préparation et de réactivité. Les plus grands amplificateurs de coûts, selon le rapport d’IBM, étaient la complexité du système de sécurité, la pénurie de compétences en sécurité, et la non-conformité avec les réglementations.Cette découverte est en accord avec la conclusion du rapport de Kiteworks, qui a révélé que les exploits cybernétiques ont entraîné des dommages financiers pour 62 % des organisations.

1. Complexité du système de sécurité et risque de violation de données

Selon le rapport IBM, les organisations avec des niveaux plus élevés de complexité du système de sécurité ont un risque plus élevé. Les organisations ayant une faible ou aucune complexité du système de sécurité ont connu un coût moyen de violation de données de 3.84 millions de dollars américains. En revanche, ceux qui admettent un haut niveau de complexité des systèmes de sécurité ont vu un coût moyen de US$5.28 millions—une différence de 31.6%.

Le rapport de Kiteworks a révélé des conclusions similaires en ce qui concerne les outils de communication utilisés pour envoyer et partager du contenu sensible. La moitié des personnes interrogées dans l’enquête ont dit qu’elles partagent du contenu avec six canaux ou plus. La gestion de ces différents outils de communication est extrêmement complexe, ce qui est exacerbé par le grand nombre de tiers avec lesquels le contenu sensible est échangé; 90% partagent du contenu sensible avec plus de 1 000 tiers, tandis que 44% le font avec plus de 2 500 tiers. De plus, 85% des organisations utilisent quatre systèmes ou plus pour suivre, contrôler et sécuriser les communications de contenu sensible. La conclusion ici : Tout comme le rapport d’IBM le constate, la complexité des communications de contenu sensible augmente le risque.

2. Compétences en cybersécurité et risque de violation de données

Le rapport d’IBM identifie une différence de 1.58 million de dollars US (34.6%) entre les niveaux élevés et faibles de pénurie de compétences en sécurité. Un niveau élevé de pénurie de compétences en sécurité a conduit à un coût moyen de 5.36 millions de dollars US, soit 910 000 dollars de plus que le coût moyen d’une violation de données. Le rapport suggère qu’investir dans le développement des compétences et assurer une équipe de sécurité bien dotée en personnel peut réduire significativement le coût des violations de données.

Ces conclusions suggèrent un besoin clair d’investir dans le développement des compétences et de s’assurer que l’équipe de sécurité est bien dotée en personnel, une perspective qui est encore soutenue par le rapport de Kiteworks.Le rapport Kiteworks détaille comment les organisations peinent à mesurer et à gérer les risques de sécurité et de conformité, principalement en raison d’une gouvernance et d’une sécurité inadéquates, ce qui pourrait probablement être lié à un manque de personnel qualifié.

3. Conformité réglementaire et risque de violation de données

Le monde numérique est fermement ancré dans une ère de conformité. Cela exige une refonte de la cybersécurité, de la gestion des droits numériques, et de la conformité réglementaire. Selon le rapport d’IBM, les organisations présentant un haut niveau de non-conformité aux regulations montrent US$5.05 millions en coût moyen d’une violation de données, compare à US$4.01 millions pour celles avec de faibles niveaux de conformité aux régulations — une différence de 23% soit US$1.04 million.

En passant au rapport Kiteworks, il est important de considérer que le risque lié aux communications de contenu sensible ne se limite pas seulement aux violations de données, mais tourne également beaucoup autour de la conformité. Beaucoup associent la conformité avec la réglementation gouvernementale, et en effet, les entreprises mondiales opérant dans plusieurs juridictions sont soumises à un large éventail de telles réglementations. Mais ce ne sont pas seulement les lois et régulations qui définissent les exigences de conformité. Les mandats spécifiques à l’industrie, tels que PCI DSS pour les entités traitant des transactions par carte de paiement, entrent également en jeu.

Avec toutes ces exigences de conformité en place, la préparation pour les audits devient une partie routine du calendrier des équipes de gestion des risques ou de sécurité informatique. Ces audits peuvent également suivre un incident cyber, renforçant les risques d’entreprise potentiels qu’un échec d’audit peut présenter. Les données d’enquête offrent un aperçu de l’état de la gestion des risques de conformité pour les communications de contenu sensible, avec environ un quart des répondants reconnaissant qu’aucune amélioration n’est nécessaire pour mesurer ou gérer les risques de conformité.

Identification des Breaches

En termes d’identification des breaches, 40% des breaches ont été identifiées par un tiers ou un externe bienveillant, tandis que 33% ont été détectées par des équipes et des outils internes. Fait intéressant, 27% des violations ont été révélées par l’attaquant, souvent dans le cadre d’une cyberattaque de ransomware.

Les violations dévoilées par les attaquants avaient un coût moyen de 5.23 millions de dollars US, soit une différence de 19.5% ou 930,000 dollars US par rapport au coût moyen des violations identifiées par les équipes de sécurité internes ou les outils, qui était de 4.30 millions de dollars US. Les violations identifiées par les équipes et outils de sécurité d’une organisation étaient nettement moins coûteuses, coûtant près d’un million de dollars de moins que les incidents dévoilés par l’attaquant. Cette information souligne l’importance de solides mesures de sécurité internes pour la détection précoce et l’atténuation des violations.

Type de données et coût de violation

En ce qui concerne le type de données compromises, les informations personnelles identifiables des clients et des employés étaient les plus coûteuses, avec un coût moyen de 183 US$ et 181 US$ par enregistrement, respectivement. En revanche, le type d’enregistrement le moins cher à compromettre était les données clients anonymisées, coûtant aux organisations 138 US$ par enregistrement.

Une augmentation a été notée dans le pourcentage d’infractions impliquant des informations personnelles identifiables des clients, passant de 47% en 2022 à 52% en 2023, tandis que les informations personnelles identifiables des employés compromises ont également augmenté, passant de 26% en 2021 à 40% en 2023. Cela suggère une ciblage de types de données plus précieux, soulignant d’autant plus le besoin pour les entreprises de renforcer leurs mesures de cybersécurité.

Le risque souligné par le rapport IBM est confirmé par les résultats dans le rapport Kiteworks..
Plus de la moitié des participants ont classé les informations personnelles identifiables (PII), les informations médicales protégées (PHI) et les documents juridiques dans le top trois. Les variations régionales reflètent différentes préoccupations réglementaires. Par exemple, en Europe et en Asie-Pacifique, où le RGPD et des lois similaires prévalent, la PII est priorisée. En Amérique du Nord, où le respect de la loi HIPAA est une exigence de conformité importante, on se préoccupe davantage des PHI. Fait intéressant, au Moyen-Orient, la propriété intellectuelle (IP) est perçue comme un risque beaucoup plus grand, avec 60% la classant parmi les trois premières.

Des variations spécifiques à l’industrie ont également été notées, bien que la plupart étaient attendues ou compréhensibles. On a constaté une plus grande inquiétude concernant les documents juridiques dans les secteurs des services financiers, de l’enseignement supérieur et de la santé. Les fusions et acquisitions (M&A) étaient prioritaires dans les cabinets d’avocats, les services professionnels et les entreprises pharmaceutiques/sciences de la vie.

Les documents financiers étaient un point d’accentuation plus significatif dans le gouvernement local, tandis que les informations médicales protégées étaient plus cruciales dans les entreprises d’énergie et de services publics et les agences gouvernementales fédérales. En revanche, les secteurs de la santé montraient moins de préoccupation pour les informations médicales protégées, vraisemblablement en raison de mesures de protection robustes déjà en place.

Alignement des principales conclusions des deux rapports

Les résultats du rapport 2023 d’IBM sur le coût d’une violation de données mettent en évidence les défis continus auxquels les entreprises sont confrontées pour sécuriser leurs données et réseaux. Les attaques sur la chaîne d’approvisionnement logiciel, le manque de compétences en sécurité et la complexité des systèmes, entre autres facteurs, affectent significativement le coût d’une violation de données.Alors que les cybermenaces continuent d’évoluer, il est crucial pour les entreprises de prendre les devants en investissant dans leur infrastructure et leurs pratiques de cybersécurité, afin de pouvoir répondre efficacement à tout scénario de violation.

Lorsqu’on lit les conclusions du rapport IBM conjointement à celles du Rapport 2023 sur la confidentialité et la conformité des communications de contenu sensible de Kiteworks, certains aperçus et points à retenir intéressants émergent. Les données personnelles identifiables (informations personnelles identifiables) et les informations médicales protégées sont une cible, et à mesure que la complexité des systèmes de communication utilisés pour envoyer et partager ces données augmente, le risque augmente également. Le respect de la conformité réglementaire a un impact positif sur le risque selon le rapport d’IBM. À mesure que le nombre de réglementations sur la confidentialité des données et la cybersécurité augmente et que leur complexité se développe, les organisations doivent s’assurer qu’elles ont en place les bons outils technologiques pour gérer leur risque..

Les organisations qui recherchent de l’aide pour gérer la sécurité et le risque de conformité de leur communication de contenu sensible peuvent planifier une démonstration sur mesure du réseau de contenu privé Kiteworks.

Ressources supplémentaires

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Table of Content
Partagez
Tweetez
Partagez
Explore Kiteworks