coût réel de ne pas investir dans la sécurité

Le véritable coût de l’absence d’investissement en sécurité

Partager

Chaque année, de nombreux rapports mettent en lumière la complexité croissante du paysage de la sécurité, et la situation semble empirer. En 2023, IBM a publié le « Rapport sur le coût d’une violation de données« , indiquant que « Le coût moyen d’une violation de données a atteint un sommet historique de 4,45 millions de dollars en 2023. Cela représente une augmentation de 2,3 % par rapport au coût de 2022, qui était de 4,35 millions de dollars. Sur le long terme, le coût moyen a augmenté de 15,3 % par rapport aux 3,86 millions de dollars du rapport de 2020. » Cette tendance à la hausse souligne la gravité croissante des enjeux financiers liés à la sécurité des données.

Selon ce même rapport, 51 % des organisations prévoient d’augmenter leurs investissements en sécurité en réponse à la situation d’insécurité globale, ce qui est une bonne nouvelle. Mais qu’en est-il de celles qui ont décidé de ne pas investir ? Dans cet article, nous aborderons le coût réel pour les entreprises qui n’investissent pas dans la sécurité et examinerons les domaines où le manque de vigilance en matière de sécurité peut affecter fortement les entreprises.

Nous avons passé en revue divers rapports, documents et sites web pour identifier les coûts les plus importants des entreprises qui n’investissent pas dans la sécurité :

  1. Brèches de sécurité et de données
  2. Coûts juridiques
  3. Perte de réputation
  4. Perte de revenus
  5. Coûts de récupération

Brèches de sécurité et de données

Les brèches de sécurité et les violations de données sont deux concepts liés mais distincts. Les brèches de sécurité exposent des informations confidentielles aux malfaiteurs, qui peuvent soit les rendre publiques, soit les utiliser à des fins frauduleuses, telles que la vente à des tiers intéressés par des informations sur des brevets, des designs, ou des données clients.

Parmi les types d’attaques, on trouve les exfiltrations de données, les ransomwares, etc. Les mesures de protection varient : pour une exfiltration, il y a par exemple la prévention des pertes de données (DLP), tandis que pour un ransomware, la gestion des sauvegardes est cruciale.

En cas de violation de données, trois étapes essentielles doivent être suivies :

  1. Enquêter sur la violation et son étendue.
  2. Notifier l’autorité compétente du type et de l’ampleur de la violation.
  3. Informer les clients potentiellement affectés.

Note : En France, la CNIL doit être informée dans les 72 heures suivant la prise de connaissance d’une violation de données présentant un risque pour les droits et libertés des personnes.

Coûts juridiques

Aujourd’hui, la législation européenne et, par extension, la législation française sont parmi les plus strictes en matière de protection des données (RGPD), avec des sanctions très sévères pouvant même entraîner la faillite d’une entreprise.

En cas de faille de sécurité entraînant une exfiltration de données, il est obligatoire d’informer immédiatement l’agence de protection des données et les utilisateurs concernés. Cela peut entraîner une amende financière, ainsi qu’une possible perte de confiance des clients, affectant les contrats en cours. De plus, l’entreprise devra faire appel à des experts en sécurité et en gestion légale, augmentant ainsi ses coûts.

Perte de réputation

Une fuite d’informations est extrêmement préjudiciable à tous les niveaux, mais elle peut être particulièrement dévastatrice sur le plan de la réputation, surtout si la violation de sécurité est rendue publique par des médias ou par les attaquants eux-mêmes. Cela peut amener les clients à percevoir l’entreprise comme peu sécurisée ou peu fiable et à se tourner vers des concurrents plus sûrs.

En cas de brèche, il est essentiel de gérer correctement la communication. Avant tout, le département informatique, la sécurité, la direction et le marketing doivent se réunir pour décider des messages à diffuser et de la manière dont ils seront communiqués.

Note : Mon expérience de plus de 20 ans en informatique m’a appris qu’il est préférable d’avoir une stratégie de communication préparée et de laisser le département marketing gérer les communications, tandis que les équipes systèmes et sécurité enquêtent, atténuent les dommages et rétablissent le fonctionnement normal.

Perte de revenus

L’arrêt des opérations normales d’une organisation en raison d’une attaque ou d’une faille de sécurité majeure peut entraîner une interruption de la facturation ou empêcher l’acquisition de nouveaux clients pendant cette période critique. De plus, la perte de réputation peut entraîner une perte de confiance des clients, qui chercheront à sécuriser leurs données ailleurs. Cela peut conduire à une perte de revenus substantielle, mettant en péril la résilience et la survie de l’entreprise.

Coûts de récupération

Le retour à la normale n’est pas aussi simple qu’on pourrait le croire. Il dépend du niveau de sécurité avant la brèche et de l’étendue de celle-ci. Si une organisation n’a pas de sauvegardes ou si celles-ci ne sont pas correctement mises en place et testées, la récupération peut prendre des jours, voire des semaines.

Par exemple, une organisation sans sauvegardes adéquates devra réinstaller et reconfigurer manuellement tous ses systèmes, ce qui peut être extrêmement long et coûteux.

Conclusion

Comme nous l’avons vu tout au long de cet article, le coût réel de ne pas investir dans la sécurité peut être très élevé. Les domaines d’impact que nous avons identifiés chez Jotelulu sont : les brèches de sécurité des données, les pertes de revenus, les coûts juridiques, la perte de réputation et les coûts de récupération.

Il est essentiel d’améliorer continuellement la sécurité de l’information pour renforcer la résilience de l’organisation. Même de petits investissements réguliers en sécurité peuvent améliorer significativement votre position de sécurité et votre capacité à faire face aux incidents.

Catégories:Administrateurs système

D'autres articles qui pourraient vous intéresser

13 novembre 2024
Intégration avec QNAP ! Il est désormais possible de créer des copies synchronisées entre les périphériques de stockage locaux
2 octobre 2024
Il est désormais possible de créer des plans de Disaster Recovery pour votre infrastructure ou celle de vos clients
17 juillet 2024
Dans cet article, nous allons faire une brève revue de Windows Server 2025 dans laquelle nous nous concentrerons sur

Merci de nous laisser vos coordonées, un de nos experts vous contactera dans les plus brefs délais.

growth@jotelulu.com  |  +33 1 87 65 31 20  |  jotelulu.com 

Vous pouvez vous désabonner de ces communications à tout moment. Consultez notre politique de confidentialité.