« Le coût moyen d'une violation de données a atteint un niveau record de 4,4 millions de dollars cette année, selon le rapport d'IBM Security publié mercredi », explique CNET, soit « une augmentation de 2,6 % par rapport à il y a un an et un bond de 13 % depuis 2020 » :
« Une partie de cela découle des coûts particulièrement élevés des violations de l'industrie des soins de santé. Les soins de santé, considérés comme des infrastructures critiques, avaient le coût moyen par violation le plus élevé de 10,1 millions de dollars, contre 9,2 millions de dollars en 2021. »
Le rapport relève en outre que « plus de la moitié des organisations interrogées ont reconnu avoir répercuté ces coûts sur leurs clients sous la forme de prix plus élevés pour leurs produits et services ».
Le rapport annuel est basé sur une analyse par le Ponemon Institute des violations de données subies par 550 organisations à travers le monde entre mars 2021 et mars 2022.
Les estimations de coûts sont basées sur les dépenses immédiates mais également celles à plus long terme :
« Alors que certains coûts tels que le paiement de rançons et ceux liés à l'enquête et à la maîtrise de la violation ont tendance à être comptabilisés immédiatement, d'autres tels que les amendes réglementaires et les ventes perdues peuvent apparaître des années plus tard. »
Commentaires (25)
#1
Une entreprise répercute tout ses coûts aux clients. Elle ne peut pas faire autrement.
#1.1
si c’était le coût des rançons j’aurai compris l’article mais bon si tu apportes de la sécurité ça coute cheer à mettre en place donc ouai ça se répercute
#1.2
C’est triste, mais beaucoup en France ont tendance à l’oublier…
#1.3
Cette logique ne tient que si on prend le cas d’une entreprise dont la survie est menacée.
Quand les coûts sont répercutés afin d’éviter de rogner sur un (large) bénéfice, et/ou afin d’éviter un arrêt de la croissance infinie des-dits bénéfices, on peut se poser la question de la déconnexion de la logique à la réalité.
Par ailleurs, on pourrait aussi opposer à votre logique le fait que ces coûts sont amortis par des provisions pour risques, certaines obligatoires, donc déjà prévues.
Les provisions étaient-elles sous-dimensionnées ? Si c’est le cas, c’est une partie de la démonstration que la structure ne se souciant pas de ce problème, donc ne se souciait pas de ses patients ou clients.
Si le risque réalisé dépasse la provision, peut-être que la sécurité n’était pas au cœur des priorités, mais n’est tenté que d’être rajoutée en surcouche, ce qui coûte (très) cher et ne sert fondamentalement pas à grand chose : le problème se redéclarera plus tard, ailleurs.
On peut donc arguer que ces coûts auraient été évitables si le problème avait été pris au sérieux, et n’existent que par un mauvais fonctionnement de la structure. Lorsque l’on est responsable, on assume ses erreurs sans les répercuter sur autrui, donc sans l’en faire souffrir.
La structure a minimisé/ignoré le problème, potentiellement structurellement : elle a joué comme cela longtemps, et commence à perdre. Il y a une leçon à apprendre, qui n’est pas celle de rejeter sa propre faute.
Que les structures ainsi touchées commencent par assumer leurs erreurs sans répercuter le coût d’amendes, qui sont là pour sanctionner un problème de fond, inhérent au fonctionnement-même de la-dite structure, par ses propre choix et les sujets qu’elles à priorisés ou ignorés, et dont personne d’autre n’est responsable.
Comprendre ce message, c’est ensuite se remettre en question sur son fonctionnement afin de privilégier les aspects de sécurité (en les voyant comme un investissement évitant de futurs coûteux soucis et non un coût brut), afin de naturellement éliminer de telles dépenses juridiques exceptionnelles (ce ne sont pas des coûts normaux de production).
#1.4
Faut arrêter de rapprocher toutes les entreprises aux GAFAM et au monde du CAC40. Tout le monde ne fait pas des bénéfices record, loin de là.
Cette problématique ne s’applique pas qu’aux entreprises dont la survie est menacée.
Tu penses vraiment qu’avec la conjoncture actuelle, les entreprises ont de quoi mettre 200-500k€ de coté de provision en cas d’attaque informatique ?
Et même si c’est le cas, qui alimente ce fond ? Les ventes aux clients… Même s’ils prennent une assurance cyber, qui va payer le surcout ? Les clients…
Je ne vois pas le rapport non plus avec de la négligence. Tu peux avoir subi une violation de données et être vraiment au top niveau sécurité.
Bien sûr, tu peux toujours ajouter des couches et surcouches. Mais quand tu vends des épinards, tu n’es pas chez Athos. Tu ne pars pas pisser avec ton badge avec de la 2AF à tous les niveaux, des certificats dans tous les sens et 15 couches de sécurité.
Il faut un peu de cohérence.
C’est une vraie problématique pour une entreprise (c’est bien pour cela que les assurances se vendent comme des petits pains en ce moment), car même en étant bien protégé, le risque est présent.
Et les coûts peuvent être très élevés si ca tourne mal. Répercuter les prix est aussi compliqué, car il y a souvent de la concurrence, donc il faut rester cohérent.
#1.5
Que ce soit ajouté en catastrophe ou provisionné à l’avance n’y change rien : c’est bien le client qui paie.
#1.6
Oui c’est le client qui paie. Mais au final la boîte qui augmente ses prix est pénalisée quand même puisque l’augmentation des prix la rend moins concurrentielle.
#2
Je ne suis pas d’accord avec vos commentaires.
Un prestataire vend une solution, et j’imagine qu’il va dire à ses clients potentiels qu’elle est sûre.
S’il s’avère que c’était du pipeau, vous trouvez normal que les clients doient alors payer plus cher après s’être fait voler leurs données ?
Je ne suis pas d’accord.
Dans l’industrie, si je n’arrive pas à livrer mes clients à temps, je ne leur facture pas plus cher, bien au contraire,
je vais avoir des pénalités de retard et je pourrais même leur faire une ristourne pour quelques mois pour faire passer la pillule.
#2.1
Au final, les revenus d’une entreprise ne proviennent que des clients, et une entreprise ne peut pas être en permanence en déficit, donc même en ne restant qu’à l’équilibre, si les coûts augmentent ce sont bien les revenus issus des facturations clients qui doivent les couvrir.
#2.2
Et pourtant, le déficit du stock d’énergies fossiles est une certitude. Alors on a inventé la dette pour faire comme si il y avait un débat public sur l’entreprise ou ses clients.
#2.3
En livrant un produit en retard tu as augmenté le coût de ton produit pour ton client car il l’attendait à un moment T.
S’il n’est pas livré à un moment T ça lui provoque des coûts (retards de production, équipe de réception mobilisée plus longtemps, trouver une solution de repli, …).
Le fait qu’il y ai des pénalités prévues au contrat ne change rien au surcout car l’entreprise prend en compte une probabilité de ne pas livrer ses contrats en temps et en heure et à donc inclus ce coût dans son prix.
Au final le client paie le surcoût dans tous les cas.
#3
Exactement, l’argent dépensé doit rentre quelque part.
On peut aussi se dire que le produit était moins cher avant parce que le coût sécurité était faible. Il l’augmente => le prix du produit augmente.
#4
Certes, mais tomber dans le déficit et diminuer ses bénéfices, c’est pas la même chose. Dans la réalité, quand je suis sous contrat avec un client, si je suis en défaut sur ce que je dois lui fournir, c’est lui qui me demande des comptes, pas l’inverse. C’est au renouvellement du contrat que je pourrais éventuellement réviser ma copie pour demander plus, jugeant que le dossier coûte plus cher, et là libre à lui de signer ou non au nouveau prix.
Finalement, l’actu n’est pas ultra claire sur cette vision car c’est certainement ce qu’il s’est passé, et là je rejoins un peu le principe qu’absolument tout dans une entreprise est voué à être financé par le client. Si les coûts augmentent, la facturation du client augmente(ra).
#5
#5.1
C’est bien pour cela que je disais qu’il faut être cohérent, ça ne se résume pas à toujours ajouter de la sécurité.
Il y a un curseur à placer pour être sécurisé au mieux, avec un budget non illimité et en impactant le moins possible le fonctionnement de l’entreprise.
Et le facteur humain reste majeur… Tu peux les former aux bonnes pratiques tous les ans, ca réduit un peu le risque mais ne le supprime pas.
#6
#6.1
Je ne pensais pas vraiment au mail ;)
Disons que normalement, il faut faire un peu de sensibilisation. Organiser des séances de 2H avec un intervenant interne ou externe qui prépare un petit PPT, ca ne coute pas très cher.
#7
L’absence de formations n’était pas une question de coût, juste ce n’était même pas envisagé puisque l’utilisateur n’a quasi aucun droit et doit appliquer les consignes à la lettre, comme stipulé dans la charte informatique. L’obéissance servile était considérée comme un acquis.
Par contre ça boudait et pignait comme des mômes dès qu’on expliquait un peu comment leurs délires étaient contournés, mais leur seule réaction était de dire que ce serait l’utilisateur concerné qui serait tenu responsable en cas de problème…
#7.1
Les DSI virent souvent dictateur parce que dans un groupe d’utilisateur t’aura toujours une minorité qui se dira suffisamment formé par orgueil (ou qui a menti sur son CV) et qui sera défendu par moult jurisprudence/syndicat/groupederaleur si par malheur il se rend compte qu’il y a une restriction qui ne s’applique qu’a lui (ou qu’il fait de trop grosses conneries).
C’est une méthode de merde (je préfère nettement l’option formation et avertir des enjeux) mais il m’est déjà arrivé d’appliquer des restrictions en disant a l’utilisateur que c’était pour son bien.
Pourquoi ? On a tout essayé avant et la personne refusait la formation donc accès au strict nécessaire, VLAN séparé et accompagnement pour éviter que ça râle de trop…
Réduit un peu le budget, l’équipe, la sélection des profils et t’a la version low-cost :
“c’est comme ça et ferme la”
Ceci dit ne pas prendre en compte les remontés c’est limite un aveu d’inutilité…
La prise de conscience des contraintes clients/vendeurs c’est un peu le même problème que pour la téléphonie illimité.
Ils se sont tous dit :
“c’est génial je vais pouvoir appeler qui je veux sans limite de durée”
pas
“c’est génial je vais pouvoir être harcelé par n’importe qui a n’importe quelle heure”
C’est d’une naïveté que j’ai parfois du mal a comprendre…
#8
Et donc déjà répercutées sur le prix des produits et services aux clients, en amont, plutôt qu’en aval.
#9
Si tu ne peux pas allonger le pognon pour bosser correctement, c’est peut-être mieux que ton entreprise n’existe pas, ou si c’est le cas qu’elle n’existe plus, non ?
Même si une entreprise était excellente dans le passé, un changement de culture peut être catastrophique.
Quand la sécurité descend dans les priorités et passe après les profits, il est grand temps de faire table rase.
Mots-clés : MCAS, 737 MAX.
Quelques antiphrases adaptées à la gouvernance d’entreprises modernes : servez-vous !
#9.1
Ok… Visiblement du es loin de ces problématiques de sécurité et de la réalité des entreprises en France.
Mais t’as raison, ce serait sûrement mieux que des centaines d’entreprises ferment. Voir des secteurs entiers, pour ceux à faible rendement. Et que celles qui gagnent bien de l’argent balancent tout dans l’IT, les salaires en ce moment on s’en tape, c’est vraiment pas une priorité par rapport à l’IT si les employés ne peuvent pas vivre. Ahh je suppose que tu vas nous dire que de toute façon toutes les entreprises sont des pourries qui ne paient qu’au SMIC ?
#10
Vos commentaires m’apportent un peu d’optimisme sur la compréhension des gens sur certaines bases du fonctionnement d’une entreprise (on lit régulièrement de ces commentaires ici, mon Dieu, il y a quand même un problème avec l’économie en France - et aussi la science comme vu depuis 2020).
#11
Il y a un meme qui circule régulièrement sur les problèmes de sécurité des entreprises, celui avec les des bocaux de pièces “Security budget before a data breach” puis “after data breach” 1⁄4 remplis puis 3⁄4 remplis.
Mais la variante que j’aime le plus est celle avec le troisième bocal qui est 5x plus gros et rempli : “data breach cost”.
Comme quoi, ces images sont loin d’être à côté de la plaque.
#12
Euh si la boîte fait des bénéfices elle aurait pu taper dans ça au lieu de faire payer ses erreurs aux clients… Après si les bénéfices ne sont pas assez élevés on peut le comprendre