Le coût d’une violation de données en 2022 et les échanges de données confidentielles

Le coût d’une violation de données en 2022 et les échanges de données confidentielles

Dans leur dernier « Rapport annuel sur le coût des violations de données », IBM et le Ponemon Institute ont déterminé que le coût moyen d’une violation de données avait encore augmenté en 2022, atteignant 4,35 millions de dollars en moyenne (soit une hausse de 2,6 % par rapport aux 4,24 millions de dollars de 2021). Plus de 8 organisations interrogées sur 10 admettent avoir été victimes d’un piratage au moins une fois dans leur vie. Il ne s’agit que d’un coût moyen : la réalité est parfois plus dramatique, avec des entreprises subissant des pertes de plusieurs millions de dollars, des atteintes à la marque et des batailles juridiques pour non-conformité réglementaire, assorties de lourdes amendes de la part des autorités. Qui plus est, les attaques visant la supply chain se multiplient ces deux dernières années, et aggravent encore le coût potentiel d’une violation de données.

Qu’est-ce qu’une violation de données ?

Une violation de données est l’accès ou la diffusion non autorisée d’informations confidentielles. Les violations de données peuvent se produire lorsque des communications de contenu sensible sont interceptées, si la conformité n’est pas respectée et si la confidentialité des données n’est pas correctement protégée. Les violations de données les plus courantes se produisent via les échanges de mails. Ils peuvent être facilement interceptés par des pirates externes en recourant à des méthodes de type “man-in-the-middle”, phishing, usurpation d’identité, intrusion dans la messagerie professionnelle ou logiciels malveillants.

Les violations de données peuvent aussi survenir en interne, de manière intentionnelle ou non. La suppression par inadvertance, la perte ou le vol de matériel sont aussi des évènements responsables de ces violations. Les types de violations de données varient en fonction des données compromises et de la manière dont elles ont été obtenues. Les communications à contenu sensible contiennent des numéros de cartes de crédit, de sécurité sociale, des détails de comptes bancaires et d’autres types d’informations personnelles identifiables (PII). En réponse à la fréquence des attaques et des violations réussies, plusieurs organisations gouvernementales et industrielles ont voté des lois et des réglementations en matière de protection des données. On peut citer la loi américaine sur la portabilité et la responsabilité de l’assurance maladie (HIPAA), le Règlement Général sur la Protection des Données (RGPD), la loi sur la protection des données 2018 et la loi californienne sur la protection des consommateurs (CCPA).

Pour les particuliers, la protection des données est le droit de pouvoir décider qui a accès à leurs données personnelles et comment ils peuvent les utiliser. Les organisations ont, elles, l’obligation de mettre en place une politique de contrôle et de suivi appropriée, afin de garantir la protection des données privées des clients, des employés et des partenaires. La protection des données s’étend également aux informations de gestion d’activité : données de recherche clinique pour les produits pharmaceutiques, plannings de production pour les fabricants, codes logiciels et stratégies commerciales pour les entreprises de technologie, détails de la chaîne logistique pour les commerçants, etc.

Les organisations ont besoin de protéger les échanges de contenu sensible, en les chiffrant et en limitant leur accès, envoi, partage et modification aux seules équipes autorisées. Les données confidentielles envoyées par mail, partage de fichiers, formulaire web, interface de transfert de fichiers et interfaces de programmation d’applications (API), doivent être chiffrées en transit et en veille. Un courriel par exemple, contenant des informations privées en transit, doit être chiffré lors de son envoi et le rester lorsqu’il est stocké. En outre, si un équipement contenant des données sensibles est perdu ou volé, les organisations doivent être en mesure de les effacer immédiatement à distance pour éviter toute fuite d’informations.

Quel est le coût d’une violation de données ?

Compte tenu de l’augmentation du coût et de la fréquence des violations de données, il est plus que jamais nécessaire d’agir pour protéger vos communications de contenu sensible. Le rapport d’IBM et du Ponemon Institute révèle que les informations confidentielles (dossiers de clients et d’employés par exemple) sont les plus exposées au risque de perte ou de vol, puisqu’elles représentent 89 % des incidents. En outre, 60 % des incidents signalés ont entraîné au moins la perte ou le vol d’informations sensibles. En parallèle, le rapport révèle que 60 % des organisations touchées par une violation de données ont dû ensuite augmenter leurs prix. C’est déjà problématique dans des circonstances ordinaires, mais ça l’est encore plus dans un contexte d’inflation et de difficultés d’approvisionnement.

Ces statistiques sont alarmantes, mais ne tiennent pas compte des coûts engendrés par les arrêts d’usines, les pannes et la remise en conformité. Pour les échanges de données confidentielles, il est essentiel de se doter d’une plateforme sécurisée intégrant notamment le chiffrement de bout en bout, et un système d’authentification multifacteur. Centraliser les e-mails, le partage de fichiers, le SFTP, le SMTP, le MFT, les formulaires Web et les API sur une seule et même plateforme permet à votre entreprise d’instaurer des politiques standards pour chaque canal de communication. Vous n’aurez plus alors à créer de visuels pour chaque silo. Cela peut s’avérer difficile pour les organisations qui ont déjà du mal à recruter et à conserver du personnel spécialisé dans l’informatique, la sécurité et la conformité.

Les violations de données sont-elles fréquentes ?

Les violations de données sont de plus en plus fréquentes. Rien que l’année dernière, 6 milliards de sinistres ont été signalés, et comme les entreprises continuent de recueillir toujours plus de données sur leurs clients, ce chiffre devrait continuer d’augmenter. Les organisations devraient tenir compte de ces chiffres lorsqu’elles se penchent sur leur budget cybersécurité, car les risques d’une éventuelle violation de données leur coûteront de plus en plus cher. Les violations de données peuvent entraîner de nombreux problèmes, comme une baisse des revenus ou des poursuites judiciaires. Les attaques de données continuent à se produire régulièrement et ne montrent aucun signe de ralentissement. La meilleure chose à faire est donc de se protéger efficacement, en prenant du recul pour analyser en profondeur les failles de leurs systèmes.

Qui se cache derrière les violations de données ?

Les tentatives constantes des cybercriminels et des États-nations malveillants pour récupérer des informations confidentielles font qu’il est de plus en plus difficile pour les organisations de protéger leurs données, d’autant plus que le monde digital est en perpétuelle évolution. Il existe pourtant un certain nombre de mesures de prévention à prendre pour limiter les risques. Les cybercriminels opèrent à différents niveaux de risque : certains créent des ransomwares et font payer leurs victimes, d’autres revendent les données personnelles au marché noir. Des États-nations malveillants ont également été accusés d’avoir volé des informations confidentielles à des sociétés privées et à des entités gouvernementales.

En quoi les violations de données font-elles évoluer les politiques de conformité et de protection des données ?

Si les violations de données posent des problèmes de conformité aux organisations, leur complexité s’est accrue ces dernières années. Les organismes de réglementation gouvernementaux et industriels adaptent sans cesse les règles de conformité afin de protéger les données privées des cybercriminels et des États-nations corrompus. Il est donc plus que jamais important pour les organisations de prendre des mesures pour protéger leurs données et s’assurer qu’elles restent conformes à la législation en vigueur. Avoir une démarche de gestion des risques de cybersécurité est un bon début. Pour les échanges de données sensibles, les entreprises doivent mettre en place les bonnes pratiques pour identifier, contrôler, atténuer et limiter les menaces. Le modèle idéal de gestion des risques de cybersécurité doit inclure le contrôle des accès aux informations privées, que ce soit pour les lire, les modifier, les envoyer ou les partager. L’organisation doit pouvoir attribuer ou retirer ces autorisations à tout moment. Ces politiques de protection des données doivent être gérées de manière centralisée. Cela permet de prouver facilement que leur politique est conforme aux réglementations telles que l’HIPAA, le GDPR, le CCPA et la loi sur la protection des données de 2018.

Comment varie le coût des violations de données selon les secteurs d’activité et les régions ?

Les violations de données peuvent coûter des millions de dollars aux organisations de différents secteurs d’activité. Selon IBM et le Ponemon Institute, le coût moyen par dossier perdu ou volé varie, selon le secteur, de 148 dollars dans la santé à 258 dollars dans la production.

Le coût des violations dans le secteur de la santé a dépassé celui de tous les autres secteurs pendant 12 années consécutives, passant à 10 millions de dollars par violation en 2022, soit 41,6 % de plus qu’en 2020. Les entreprises de services financiers arrivent ensuite avec 5,97 millions de dollars par violation, suivies par l’industrie pharmaceutique avec 5,01 millions de dollars, la technologie avec 4,97 millions de dollars puis l’énergie avec 4,72 millions de dollars. 

La santé et les services financiers sont sans doute les deux secteurs les plus réglementés, étant plus visibles et exposés à plus d’amendes. Cela pourrait expliquer ce coût plus élevé. La moitié seulement des sociétés financières et 45,5 % des organisations de santé estiment être bien protégées contre les risques de communication de contenu avec des tiers.

En ce qui concerne les coûts des violations de données, les États-Unis sont en tête des pays avec 9,44 millions de dollars, suivis par le Moyen-Orient avec 7,46 millions de dollars, le Canada avec 5,64 millions de dollars, le Royaume-Uni avec 5,05 millions de dollars et l’Allemagne avec 4,85 millions de dollars. Le Brésil a connu un bond alarmant en 2022, passant de 1,08 million de dollars à 1,38 million de dollars l’année dernière, soit une augmentation de 27,8 %.

Malgré tout, il existe des moyens pour les entreprises de se préparer à d’éventuelles cyberattaques et de réduire considérablement leur exposition au risque. L’amélioration des mesures de cybersécurité permet d’agir de façon proactive, tandis que l’accélération des délais de détection et de réponse aux incidents permet d’agir de manière réactive. Pour la protection des communications de contenu sensible, il est nécessaire d’intégrer des outils pour détecter et répondre aux incidents de manière proactive, comme les systèmes de Gestion de l’Information et des événements de sécurité (SIEM) et d’Orchestration, automatisation et réponse aux incidents de sécurité informatique (SOAR). Les conséquences des violations de données sur une marque peuvent être dramatiques dans certains secteurs d’activité. Les commerçants doivent anticiper la manière dont cela affecterait la fidélité et la confiance de leurs clients. D’autres entreprises devront anticiper les conséquences sur leur réputation, sur les performances financières à long terme et sur le cours des actions. Quel que soit le secteur d’activité, la capacité d’une entreprise à réagir rapidement à une violation de données présage de sa capacité à se rétablir rapidement ou non.

Pourquoi un Réseau de Contenus Privés est indispensable pour protéger les données sensibles

Le coût des violations de données ne cessant d’augmenter, il est plus important que jamais de mettre en place un Réseau de Contenus Privés pour protéger les communications à caractère confidentiel. Un Réseau de Contenus Privés réduit la probabilité de violations de données non structurées en centralisant la gouvernance, la conformité et la sécurité. Ainsi, vous pouvez être sûr que vos données sont protégées et sécurisées et que vous n’enfreignez pas les règles de conformité. Les coûts liés à la suite d’une violation de données continuent d’augmenter. Il est donc de plus en plus important de limiter les violations de données non structurées liées aux communications de contenu sensible.

Avec la plateforme Kiteworks, nos clients disposent d’un réseau dédié à leurs contenus privés qui assure à la fois gouvernance, conformité et protection des données telles que les PII, les dossiers financiers, les IP critiques, informations juridiques, etc. La plateforme unifie, suit, contrôle et sécurise les partages des contenus sensibles, à l’intérieur de l’organisation, mais aussi avec l’extérieur. Ce faisant, elle améliore considérablement la gestion du risque et assure la conformité réglementaire de toutes les communications d’informations sensibles. La plateforme permet de démontrer facilement la conformité réglementaire aux clients qui recherchent des solutions répondant aux normes de l’industrie comme FedRAMP Authorized et Infosec Registered Assessors Program (IRAP).

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

Partagez
Tweetez
Partagez
Explore Kiteworks