Connexion
Abonnez-vous

Violations de données : plus de la moitié des victimes répercutent les coûts sur leurs clients

Violations de données : plus de la moitié des victimes répercutent les coûts sur leurs clients

Le 29 juillet 2022 à 06h19

« Le coût moyen d'une violation de données a atteint un niveau record de 4,4 millions de dollars cette année, selon le rapport d'IBM Security publié mercredi », explique CNET, soit « une augmentation de 2,6 % par rapport à il y a un an et un bond de 13 % depuis 2020 » : 

« Une partie de cela découle des coûts particulièrement élevés des violations de l'industrie des soins de santé. Les soins de santé, considérés comme des infrastructures critiques, avaient le coût moyen par violation le plus élevé de 10,1 millions de dollars, contre 9,2 millions de dollars en 2021. »

Le rapport relève en outre que « plus de la moitié des organisations interrogées ont reconnu avoir répercuté ces coûts sur leurs clients sous la forme de prix plus élevés pour leurs produits et services ».

Le rapport annuel est basé sur une analyse par le Ponemon Institute des violations de données subies par 550 organisations à travers le monde entre mars 2021 et mars 2022. 

Les estimations de coûts sont basées sur les dépenses immédiates mais également celles à plus long terme : 

« Alors que certains coûts tels que le paiement de rançons et ceux liés à l'enquête et à la maîtrise de la violation ont tendance à être comptabilisés immédiatement, d'autres tels que les amendes réglementaires et les ventes perdues peuvent apparaître des années plus tard. »

Le 29 juillet 2022 à 06h19

Commentaires (25)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Une entreprise répercute tout ses coûts aux clients. Elle ne peut pas faire autrement.

votre avatar

si c’était le coût des rançons j’aurai compris l’article mais bon si tu apportes de la sécurité ça coute cheer à mettre en place donc ouai ça se répercute

votre avatar

:yes:



C’est triste, mais beaucoup en France ont tendance à l’oublier…

votre avatar

Cette logique ne tient que si on prend le cas d’une entreprise dont la survie est menacée.



Quand les coûts sont répercutés afin d’éviter de rogner sur un (large) bénéfice, et/ou afin d’éviter un arrêt de la croissance infinie des-dits bénéfices, on peut se poser la question de la déconnexion de la logique à la réalité.



Par ailleurs, on pourrait aussi opposer à votre logique le fait que ces coûts sont amortis par des provisions pour risques, certaines obligatoires, donc déjà prévues.
Les provisions étaient-elles sous-dimensionnées ? Si c’est le cas, c’est une partie de la démonstration que la structure ne se souciant pas de ce problème, donc ne se souciait pas de ses patients ou clients.
Si le risque réalisé dépasse la provision, peut-être que la sécurité n’était pas au cœur des priorités, mais n’est tenté que d’être rajoutée en surcouche, ce qui coûte (très) cher et ne sert fondamentalement pas à grand chose : le problème se redéclarera plus tard, ailleurs.



On peut donc arguer que ces coûts auraient été évitables si le problème avait été pris au sérieux, et n’existent que par un mauvais fonctionnement de la structure. Lorsque l’on est responsable, on assume ses erreurs sans les répercuter sur autrui, donc sans l’en faire souffrir.
La structure a minimisé/ignoré le problème, potentiellement structurellement : elle a joué comme cela longtemps, et commence à perdre. Il y a une leçon à apprendre, qui n’est pas celle de rejeter sa propre faute.



Que les structures ainsi touchées commencent par assumer leurs erreurs sans répercuter le coût d’amendes, qui sont là pour sanctionner un problème de fond, inhérent au fonctionnement-même de la-dite structure, par ses propre choix et les sujets qu’elles à priorisés ou ignorés, et dont personne d’autre n’est responsable.
Comprendre ce message, c’est ensuite se remettre en question sur son fonctionnement afin de privilégier les aspects de sécurité (en les voyant comme un investissement évitant de futurs coûteux soucis et non un coût brut), afin de naturellement éliminer de telles dépenses juridiques exceptionnelles (ce ne sont pas des coûts normaux de production).

votre avatar

Faut arrêter de rapprocher toutes les entreprises aux GAFAM et au monde du CAC40. Tout le monde ne fait pas des bénéfices record, loin de là.
Cette problématique ne s’applique pas qu’aux entreprises dont la survie est menacée.



Tu penses vraiment qu’avec la conjoncture actuelle, les entreprises ont de quoi mettre 200-500k€ de coté de provision en cas d’attaque informatique ?
Et même si c’est le cas, qui alimente ce fond ? Les ventes aux clients… Même s’ils prennent une assurance cyber, qui va payer le surcout ? Les clients…



Je ne vois pas le rapport non plus avec de la négligence. Tu peux avoir subi une violation de données et être vraiment au top niveau sécurité.
Bien sûr, tu peux toujours ajouter des couches et surcouches. Mais quand tu vends des épinards, tu n’es pas chez Athos. Tu ne pars pas pisser avec ton badge avec de la 2AF à tous les niveaux, des certificats dans tous les sens et 15 couches de sécurité.
Il faut un peu de cohérence.



C’est une vraie problématique pour une entreprise (c’est bien pour cela que les assurances se vendent comme des petits pains en ce moment), car même en étant bien protégé, le risque est présent.
Et les coûts peuvent être très élevés si ca tourne mal. Répercuter les prix est aussi compliqué, car il y a souvent de la concurrence, donc il faut rester cohérent.

votre avatar

Que ce soit ajouté en catastrophe ou provisionné à l’avance n’y change rien : c’est bien le client qui paie.

votre avatar

Oui c’est le client qui paie. Mais au final la boîte qui augmente ses prix est pénalisée quand même puisque l’augmentation des prix la rend moins concurrentielle.

votre avatar

Je ne suis pas d’accord avec vos commentaires.



Un prestataire vend une solution, et j’imagine qu’il va dire à ses clients potentiels qu’elle est sûre.
S’il s’avère que c’était du pipeau, vous trouvez normal que les clients doient alors payer plus cher après s’être fait voler leurs données ?



Je ne suis pas d’accord.



Dans l’industrie, si je n’arrive pas à livrer mes clients à temps, je ne leur facture pas plus cher, bien au contraire,
je vais avoir des pénalités de retard et je pourrais même leur faire une ristourne pour quelques mois pour faire passer la pillule.

votre avatar

Au final, les revenus d’une entreprise ne proviennent que des clients, et une entreprise ne peut pas être en permanence en déficit, donc même en ne restant qu’à l’équilibre, si les coûts augmentent ce sont bien les revenus issus des facturations clients qui doivent les couvrir.

votre avatar

Et pourtant, le déficit du stock d’énergies fossiles est une certitude. Alors on a inventé la dette pour faire comme si il y avait un débat public sur l’entreprise ou ses clients. :D

votre avatar

En livrant un produit en retard tu as augmenté le coût de ton produit pour ton client car il l’attendait à un moment T.
S’il n’est pas livré à un moment T ça lui provoque des coûts (retards de production, équipe de réception mobilisée plus longtemps, trouver une solution de repli, …).



Le fait qu’il y ai des pénalités prévues au contrat ne change rien au surcout car l’entreprise prend en compte une probabilité de ne pas livrer ses contrats en temps et en heure et à donc inclus ce coût dans son prix.



Au final le client paie le surcoût dans tous les cas.

votre avatar

mtaapc a dit:


Exactement, l’argent dépensé doit rentre quelque part.



On peut aussi se dire que le produit était moins cher avant parce que le coût sécurité était faible. Il l’augmente => le prix du produit augmente.

votre avatar

mtaapc a dit:


Au final, les revenus d’une entreprise ne proviennent que des clients, et une entreprise ne peut pas être en permanence en déficit, donc même en ne restant qu’à l’équilibre, si les coûts augmentent ce sont bien les revenus issus des facturations clients qui doivent les couvrir.


Certes, mais tomber dans le déficit et diminuer ses bénéfices, c’est pas la même chose. Dans la réalité, quand je suis sous contrat avec un client, si je suis en défaut sur ce que je dois lui fournir, c’est lui qui me demande des comptes, pas l’inverse. C’est au renouvellement du contrat que je pourrais éventuellement réviser ma copie pour demander plus, jugeant que le dossier coûte plus cher, et là libre à lui de signer ou non au nouveau prix.



Finalement, l’actu n’est pas ultra claire sur cette vision car c’est certainement ce qu’il s’est passé, et là je rejoins un peu le principe qu’absolument tout dans une entreprise est voué à être financé par le client. Si les coûts augmentent, la facturation du client augmente(ra).

votre avatar

(reply:2086373:dvr-x)
Et il faut en plus correctement évaluer le niveau et les techniques de sécurisation en fonction des utilisateurs. Trop de sécurité tue la sécurité, si la sécurité entrave trop les opérationnels, ils contourneront ou dégraderont les sécurités.


votre avatar

C’est bien pour cela que je disais qu’il faut être cohérent, ça ne se résume pas à toujours ajouter de la sécurité.
Il y a un curseur à placer pour être sécurisé au mieux, avec un budget non illimité et en impactant le moins possible le fonctionnement de l’entreprise.
Et le facteur humain reste majeur… Tu peux les former aux bonnes pratiques tous les ans, ca réduit un peu le risque mais ne le supprime pas.

votre avatar

(reply:2086379:dvr-x)
Déjà de base “former” est un mot souvent tabou en entreprise en ce qui concerne l’informatique d’une manière générale (“tout le monde connaît Windows et Office”), mais c’est encore pire en matière de sécurité.
Souvent ça se limite à un mail à tous pour annoncer que les mots de passe vont être limités à 2 semaines, avec 38 caractères de 5 types différents, et ne pas être similaires au 76 derniers utilisés. Avec pour résultat un post-it sous le clavier…


votre avatar

Je ne pensais pas vraiment au mail ;)
Disons que normalement, il faut faire un peu de sensibilisation. Organiser des séances de 2H avec un intervenant interne ou externe qui prépare un petit PPT, ca ne coute pas très cher.

votre avatar

(reply:2086392:dvr-x)
Ce que j’ai vécu (en tant qu’utilisateur) dans les grands structures, c’est un (mauvais) état d’esprit de DSI complètement enfermées dans leur tour d’ivoire, seuls détenteurs du savoir, imposants aux “gueux” utilisateurs leurs décisions.


L’absence de formations n’était pas une question de coût, juste ce n’était même pas envisagé puisque l’utilisateur n’a quasi aucun droit et doit appliquer les consignes à la lettre, comme stipulé dans la charte informatique. L’obéissance servile était considérée comme un acquis.



Par contre ça boudait et pignait comme des mômes dès qu’on expliquait un peu comment leurs délires étaient contournés, mais leur seule réaction était de dire que ce serait l’utilisateur concerné qui serait tenu responsable en cas de problème…

votre avatar

Les DSI virent souvent dictateur parce que dans un groupe d’utilisateur t’aura toujours une minorité qui se dira suffisamment formé par orgueil (ou qui a menti sur son CV) et qui sera défendu par moult jurisprudence/syndicat/groupederaleur si par malheur il se rend compte qu’il y a une restriction qui ne s’applique qu’a lui (ou qu’il fait de trop grosses conneries).



C’est une méthode de merde (je préfère nettement l’option formation et avertir des enjeux) mais il m’est déjà arrivé d’appliquer des restrictions en disant a l’utilisateur que c’était pour son bien.
Pourquoi ? On a tout essayé avant et la personne refusait la formation donc accès au strict nécessaire, VLAN séparé et accompagnement pour éviter que ça râle de trop…



Réduit un peu le budget, l’équipe, la sélection des profils et t’a la version low-cost :
“c’est comme ça et ferme la”



Ceci dit ne pas prendre en compte les remontés c’est limite un aveu d’inutilité…



La prise de conscience des contraintes clients/vendeurs c’est un peu le même problème que pour la téléphonie illimité.



Ils se sont tous dit :
“c’est génial je vais pouvoir appeler qui je veux sans limite de durée”
pas
“c’est génial je vais pouvoir être harcelé par n’importe qui a n’importe quelle heure”



C’est d’une naïveté que j’ai parfois du mal a comprendre…

votre avatar

Berbe a dit:


[…] Par ailleurs, on pourrait aussi opposer à votre logique le fait que ces coûts sont amortis par des provisions pour risques, certaines obligatoires, donc déjà prévues. […]


Et donc déjà répercutées sur le prix des produits et services aux clients, en amont, plutôt qu’en aval.

votre avatar

(reply:2086373:dvr-x)


Si tu ne peux pas allonger le pognon pour bosser correctement, c’est peut-être mieux que ton entreprise n’existe pas, ou si c’est le cas qu’elle n’existe plus, non ?
Même si une entreprise était excellente dans le passé, un changement de culture peut être catastrophique.
Quand la sécurité descend dans les priorités et passe après les profits, il est grand temps de faire table rase.
Mots-clés : MCAS, 737 MAX.



Quelques antiphrases adaptées à la gouvernance d’entreprises modernes : servez-vous !




  • Le client doit être au centre de nos préoccupations, tant que ces préoccupations ne nous coûte pas (trop)

  • La sécurité est importante, mais comme elle coûte cher, on lui préfère d’autres fonctionnalités

  • Travaillons toujours plus vite et bien

  • Si l’on est capable de travailler vite, on corrigera vite tous les soucis, plutôt que de chercher à éviter d’en créer

  • La qualité est importante mais on n’a ni le temps, ni les moyens

  • La sécurité est important mais on n’a ni le temps, ni les moyens

  • Nous sommes responsables, mais si on se fait prendre la main dans le sac, nous répercuterons les coûts

votre avatar

Ok… Visiblement du es loin de ces problématiques de sécurité et de la réalité des entreprises en France.



Mais t’as raison, ce serait sûrement mieux que des centaines d’entreprises ferment. Voir des secteurs entiers, pour ceux à faible rendement. Et que celles qui gagnent bien de l’argent balancent tout dans l’IT, les salaires en ce moment on s’en tape, c’est vraiment pas une priorité par rapport à l’IT si les employés ne peuvent pas vivre. Ahh je suppose que tu vas nous dire que de toute façon toutes les entreprises sont des pourries qui ne paient qu’au SMIC ?

votre avatar

wanou2 a dit:


Une entreprise répercute tout ses coûts aux clients. Elle ne peut pas faire autrement.



Elwyns a dit:


si c’était le coût des rançons j’aurai compris l’article mais bon si tu apportes de la sécurité ça coute cheer à mettre en place donc ouai ça se répercute



anagrys a dit:


:yes:



C’est triste, mais beaucoup en France ont tendance à l’oublier…



mtaapc a dit:



Watchwolf a dit:


Exactement, l’argent dépensé doit rentre quelque part.



(quote:2086373:dvr-x)
Tu penses vraiment qu’avec la conjoncture actuelle, les entreprises ont de quoi mettre 200-500k€ de coté de provision en cas d’attaque informatique ? Et même si c’est le cas, qui alimente ce fond ? Les ventes aux clients… Même s’ils prennent une assurance cyber, qui va payer le surcout ? Les clients…


Vos commentaires m’apportent un peu d’optimisme sur la compréhension des gens sur certaines bases du fonctionnement d’une entreprise (on lit régulièrement de ces commentaires ici, mon Dieu, il y a quand même un problème avec l’économie en France - et aussi la science comme vu depuis 2020).

votre avatar

Il y a un meme qui circule régulièrement sur les problèmes de sécurité des entreprises, celui avec les des bocaux de pièces “Security budget before a data breach” puis “after data breach” 14 remplis puis 34 remplis.



Mais la variante que j’aime le plus est celle avec le troisième bocal qui est 5x plus gros et rempli : “data breach cost”.



Comme quoi, ces images sont loin d’être à côté de la plaque.

votre avatar

Euh si la boîte fait des bénéfices elle aurait pu taper dans ça au lieu de faire payer ses erreurs aux clients… Après si les bénéfices ne sont pas assez élevés on peut le comprendre

Violations de données : plus de la moitié des victimes répercutent les coûts sur leurs clients

Fermer