Chaque année, de nombreux rapports mettent en lumière la complexité croissante du paysage de la sécurité, et la situation semble empirer. En 2023, IBM a publié le « Rapport sur le coût d’une violation de données« , indiquant que « Le coût moyen d’une violation de données a atteint un sommet historique de 4,45 millions de dollars en 2023. Cela représente une augmentation de 2,3 % par rapport au coût de 2022, qui était de 4,35 millions de dollars. Sur le long terme, le coût moyen a augmenté de 15,3 % par rapport aux 3,86 millions de dollars du rapport de 2020. » Cette tendance à la hausse souligne la gravité croissante des enjeux financiers liés à la sécurité des données.
Selon ce même rapport, 51 % des organisations prévoient d’augmenter leurs investissements en sécurité en réponse à la situation d’insécurité globale, ce qui est une bonne nouvelle. Mais qu’en est-il de celles qui ont décidé de ne pas investir ? Dans cet article, nous aborderons le coût réel pour les entreprises qui n’investissent pas dans la sécurité et examinerons les domaines où le manque de vigilance en matière de sécurité peut affecter fortement les entreprises.
Nous avons passé en revue divers rapports, documents et sites web pour identifier les coûts les plus importants des entreprises qui n’investissent pas dans la sécurité :
- Brèches de sécurité et de données
- Coûts juridiques
- Perte de réputation
- Perte de revenus
- Coûts de récupération
Brèches de sécurité et de données
Les brèches de sécurité et les violations de données sont deux concepts liés mais distincts. Les brèches de sécurité exposent des informations confidentielles aux malfaiteurs, qui peuvent soit les rendre publiques, soit les utiliser à des fins frauduleuses, telles que la vente à des tiers intéressés par des informations sur des brevets, des designs, ou des données clients.
Parmi les types d’attaques, on trouve les exfiltrations de données, les ransomwares, etc. Les mesures de protection varient : pour une exfiltration, il y a par exemple la prévention des pertes de données (DLP), tandis que pour un ransomware, la gestion des sauvegardes est cruciale.
En cas de violation de données, trois étapes essentielles doivent être suivies :
- Enquêter sur la violation et son étendue.
- Notifier l’autorité compétente du type et de l’ampleur de la violation.
- Informer les clients potentiellement affectés.
Note : En France, la CNIL doit être informée dans les 72 heures suivant la prise de connaissance d’une violation de données présentant un risque pour les droits et libertés des personnes.
Coûts juridiques
Aujourd’hui, la législation européenne et, par extension, la législation française sont parmi les plus strictes en matière de protection des données (RGPD), avec des sanctions très sévères pouvant même entraîner la faillite d’une entreprise.
En cas de faille de sécurité entraînant une exfiltration de données, il est obligatoire d’informer immédiatement l’agence de protection des données et les utilisateurs concernés. Cela peut entraîner une amende financière, ainsi qu’une possible perte de confiance des clients, affectant les contrats en cours. De plus, l’entreprise devra faire appel à des experts en sécurité et en gestion légale, augmentant ainsi ses coûts.
Perte de réputation
Une fuite d’informations est extrêmement préjudiciable à tous les niveaux, mais elle peut être particulièrement dévastatrice sur le plan de la réputation, surtout si la violation de sécurité est rendue publique par des médias ou par les attaquants eux-mêmes. Cela peut amener les clients à percevoir l’entreprise comme peu sécurisée ou peu fiable et à se tourner vers des concurrents plus sûrs.
En cas de brèche, il est essentiel de gérer correctement la communication. Avant tout, le département informatique, la sécurité, la direction et le marketing doivent se réunir pour décider des messages à diffuser et de la manière dont ils seront communiqués.
Note : Mon expérience de plus de 20 ans en informatique m’a appris qu’il est préférable d’avoir une stratégie de communication préparée et de laisser le département marketing gérer les communications, tandis que les équipes systèmes et sécurité enquêtent, atténuent les dommages et rétablissent le fonctionnement normal.
Perte de revenus
L’arrêt des opérations normales d’une organisation en raison d’une attaque ou d’une faille de sécurité majeure peut entraîner une interruption de la facturation ou empêcher l’acquisition de nouveaux clients pendant cette période critique. De plus, la perte de réputation peut entraîner une perte de confiance des clients, qui chercheront à sécuriser leurs données ailleurs. Cela peut conduire à une perte de revenus substantielle, mettant en péril la résilience et la survie de l’entreprise.
Coûts de récupération
Le retour à la normale n’est pas aussi simple qu’on pourrait le croire. Il dépend du niveau de sécurité avant la brèche et de l’étendue de celle-ci. Si une organisation n’a pas de sauvegardes ou si celles-ci ne sont pas correctement mises en place et testées, la récupération peut prendre des jours, voire des semaines.
Par exemple, une organisation sans sauvegardes adéquates devra réinstaller et reconfigurer manuellement tous ses systèmes, ce qui peut être extrêmement long et coûteux.
Conclusion
Comme nous l’avons vu tout au long de cet article, le coût réel de ne pas investir dans la sécurité peut être très élevé. Les domaines d’impact que nous avons identifiés chez Jotelulu sont : les brèches de sécurité des données, les pertes de revenus, les coûts juridiques, la perte de réputation et les coûts de récupération.
Il est essentiel d’améliorer continuellement la sécurité de l’information pour renforcer la résilience de l’organisation. Même de petits investissements réguliers en sécurité peuvent améliorer significativement votre position de sécurité et votre capacité à faire face aux incidents.