En 2023, les chercheurs du célèbre institut Ponemon ont à nouveau collecté et analysé des données sur les coûts des violations de données, à la demande d’IBM. Cette année, 16 pays et 17 secteurs d’activité ont été passés à la loupe.
Selon le Cost of a Data Breach Report 2023, le coût total moyen d’une violation de données a atteint le niveau record de 4,45 millions de dollars, soit 2,3 % de plus que les 4,35 millions de dollars de l’année 2022. Comparés à l’année 2020 (3,86 millions de dollars), les coûts moyens ont même augmenté de 15,3 %.
Pour la 13ème fois consécutive, c’est dans le secteur hautement réglementé de la santé que les violations de données sont les plus coûteuses, le coût moyen d’une violation de données étant de 10,93 millions de dollars dans ce secteur, soit 53,3 % plus élevé qu’en 2020.
Seule une violation de données sur trois a été détectée par les équipes ou les outils internes d’une entreprise, les 67 % restants ayant été signalés par des tiers bienveillants ou les agresseurs eux-mêmes. Une perte de données signalée par un pirate coûtait en moyenne près d’un million de dollars de plus qu’une perte de données détectée en interne.
Les données stockées dans le cloud ont été particulièrement ciblées par les pirates informatiques. 82 % des violations de la protection des données concernaient des données sauvegardées dans un cloud (public, privé ou multiple/hybride). Dans 39 % des cas, les attaquants ont obtenu accès à plusieurs environnements, ce qui a entraîné un coût moyen plus élevé de 4,75 millions de dollars.
Selon l’étude, les entreprises peuvent réaliser des économies substantielles en matière de cybersécurité en intégrant les tests de sécurité dans le développement des logiciels (« DevSecOps »). Ainsi, les entreprises ayant déjà adopté la stratégie DevSecOps (développement, sécurité, exploitation) ont économisé 1,68 million de dollars par rapport aux autres. La planification et le test de la réponse aux incidents, c’est-à-dire de la réaction aux violations de données, offrent également un potentiel d’économie substantiel de 1,49 million de dollars.
Les systèmes de sécurité complexes rendent les violations de données plus coûteuses. Les entreprises dotées de systèmes peu ou pas complexes ont bénéficié d’une facture sensiblement réduite s’élevant à 3,84 millions de dollars. En revanche, les entreprises disposant de systèmes de sécurité complexes ont dû payer en moyenne 5,28 millions de dollars, soit 31,6 % de plus.
Comme le soulignent déjà les éditions précédentes du rapport sur le coût d’une violation des données, plus une violation de données est découverte tardivement, plus elle coûte cher. Les violations détectées et contenues après moins de 200 jours coûtent en moyenne 3,93 millions de dollars, celles dont le cycle de vie est supérieur à 200 jours coûtent en moyenne 4,95 millions de dollars, soit une différence de 23 %.
D’un point de vue géographique, les violations de données ayant lieu aux États-Unis sont de loin les plus coûteuses, les coûts s’élevant actuellement à 9,48 millions de dollars en moyenne (2022 : 9,44 millions de dollars). Le Proche-Orient arrive en deuxième position avec 8,08 millions de dollars, puis, loin derrière, le Canada (5,13 millions de dollars). L’Allemagne arrive en 4ème position avec un coût moyen de 4,67 millions de dollars. La France occupe la 7ème place avec 4,08 millions de dollars et l’Italie la 8ème place avec 3,86 millions de dollars.
Les vecteurs d’attaque initiaux les plus fréquents étaient le phishing avec 16 %, suivi du vol ou de l’abus de données d’accès avec 15 %. Le phishing, avec 4,76 millions de dollars, était en outre le vecteur d’attaque avec le deuxième coût moyen le plus élevé, après les attaques internes (4,9 millions de dollars), suivi par les attaques de type Business Email Compromise (BEC) avec 4,67 millions de dollars.
Raison de plus de protéger au maximum la messagerie électronique, un canal de communication critique. Par exemple, avec Secure Email Platform et Email Security de Retarus. Pour plus d’informations, consultez notre site Web ou adressez-vous directement à votre interlocuteur local.
