Dans son rapport 2023 sur le coût des brèches de données, IBM Security énumère les moyens qui sont les plus susceptibles de réduire la facture ou de l’augmenter pour les organisations qui en sont victimes.
Le coût moyen d’une brèche est de 4,45 millions de dollars américains (M$) en 2023 (tous les montants sont en dollars américains), selon l’étude IBM Cost of a data breach report 2023 du géant mondial des services informatiques. Quelque 19 moyens, facteurs ou outils permettent de réduire les coûts moyens d’une brèche, tandis que huit autres ont plutôt pour effet de les augmenter.
Les trois facteurs les plus efficaces en tant qu’atténuation des coûts (ceux associés à la plus grande réduction des coûts) sont l’adoption d’une approche DevSecOps, la formation des employés, ainsi que la planification des tests de réponse aux incidents (IR).
L’approche DevSecOps (abréviation de développement, sécurité et opérations) « est une pratique de développement d’applications qui automatise l’intégration de la sécurité et des pratiques de sécurité à chaque phase du cycle de vie du développement logiciel, de la conception initiale à la livraison et au déploiement, en passant par l’intégration et les tests », explique IBM Security.
Par exemple, les violations dans les organisations ayant mis en place une approche DevSecOps ont eu un coût moyen inférieur de 249 000 $ au coût moyen d’une violation de données.
La formation des employés permet de réduire le coût moyen d’une brèche de 232 867 $. La planification et les tests de réponse aux incidents permettent une économie presque similaire, à 232 008 $.
Sur les 19 méthodes qui permettent de réduire les coûts, la couverture d’assurance arrive en 11e place de l’étude avec une contribution moyenne de 196 452 $ à la baisse de la facture d’une brèche.
Les principaux facteurs de coût supplémentaire étaient la complexité des systèmes de sécurité, le manque de compétences en matière de sécurité et le non-respect des réglementations.
Par exemple, les violations dans les organisations dont les systèmes de sécurité sont complexes ont coûté en moyenne 241 000 $ de plus que le coût moyen d’une violation de données, soit environ 4,69 M$.
Le facteur temps
Le cycle de vie d’une brèche de données comporte deux phases importantes : le temps mis pour détecter l’incident et le temps requis pour résoudre la situation et rétablir le niveau de service existant avant la brèche.
En 2023, le temps moyen de cette brèche atteignait 277 jours, le même que l’année précédente. Si la durée de cette brèche se prolonge, la facture des dégâts sera de plus en plus élevée.
Pour les brèches qui durent moins de 200 jours, le coût moyen est de 3,93 M$, comparativement à 4,95 M$ pour les cyberincidents qui durent plus de 200 jours.
La taille de l’entreprise
En 2023, selon le rapport d’IBM Security, le coût moyen d’une brèche a grimpé de 13,4 % dans les entreprises comptant moins de 500 employés.
Les entreprises de 500 à 1 000 employés (21 %) et celles de 1 001 à 5 000 personnes (20 %) ont aussi subi une hausse du coût moyen d’une brèche informatique en 2023 par rapport à l’année précédente.
Par ailleurs, le coût moyen a baissé dans les entreprises comptant plus de 5 000 employés, comme on peut le voir dans le graphique ci-dessous.
Pour les organisations employant entre 5 001 et 10 000 personnes, le coût moyen d’une brèche a baissé de 16 % en 2023 comparativement à l’année précédente.
Cet article est un Complément au magazine de l'édition de juin 2024 du Journal de l'assurance.