Coûts d'un vol de données

Bien que l'attaque ait dû être un grand choc pour les 37 millions d'utilisateurs du site, la majorité du grand public semble considérer de plus en plus ce type d'attaque comme normal. Mais quelles sont les conséquences réelles d'une fuite de données ? L'entreprise Sony Pictures en est un exemple connu : Après avoir été victime d'une cyberattaque en 2014, elle a estimé les coûts engendrés par la fuite de données à l'équivalent d'environ 31 millions d'euros pour l'ensemble de l'exercice. La réparation des dommages causés peut donc coûter cher, car la restauration des systèmes financiers et informatiques implique généralement des heures de travail et des dépenses supplémentaires pour le matériel, les logiciels et les fournisseurs de systèmes. Cela ne devrait toutefois chiffrer que l'aspect technique du dommage.

Quels sont les coûts d'un vol de données ?

Le Ponemon Institute a tenté de déterminer dans une étude les coûts réels d'une fuite de données. Dans le rapport, les coûts sont chiffrés comme suit :

• Les coûts directs d'un vol de données s'élèvent en moyenne pour les entreprises à l'équivalent d'environ 65 euros par utilisateur dont les données ont été compromises. Si l'on ajoute les coûts indirects liés à la perte d'utilisateurs, on arrive à une moyenne de 125 euros par utilisateur. Il s'agit d'un nouveau record de 190 euros par attaque enregistrée.
• Un vol de données coûte en moyenne 5,7 millions d'euros aux entreprises. En 2013, ce chiffre était encore de 4,6 millions.
• Le montant des coûts liés à la vérification des erreurs et aux dépenses supplémentaires est passé de 366 000 à 542 000 euros. Cela suggère que les coûts d'enquête et d'investigation, les services de vérification et d'évaluation, la gestion d'une équipe de crise et la communication avec les parties prenantes et la direction ont augmenté.
• Des dépenses accrues sont également dues après un vol de données, par exemple pour les équipes de travail supplémentaires des collaborateurs du service d'assistance, le traitement des demandes entrantes, les travaux d'enquête et de restauration ainsi que les dépenses juridiques. Ces coûts sont passés de 1,39 million à 1,42 million d'euros dans l'étude de cette année.

Il ne fait aucun doute que le vol de données est coûteux d'un point de vue financier. Mais il peut coûter doublement cher aux entreprises en raison de la perte de confiance des clients. Pour éviter d'être la prochaine victime d'un vol de données, les organisations devraient donc accorder la priorité absolue à la sécurité des données critiques et personnelles.

Attention, attention, attention

Outre la mise en place de structures de sécurité efficaces, les employeurs seraient bien avisés de sensibiliser leur personnel à la sécurité des données. Pour les pirates informatiques qui veulent s'approprier les données de l'entreprise, il est en effet souvent plus prometteur de faire passer leurs attaques par les collaborateurs plutôt que par le pare-feu bien protégé. Les employeurs devraient donc sensibiliser leurs collaborateurs à l'"ingénierie sociale". Il s'agit d'attaques manipulatrices qui peuvent prendre des formes très diverses, quasiment l'escroquerie en matière de sécurité informatique. Ainsi, les criminels demandent des mots de passe sous une fausse identité ou collectent des informations leur permettant de réinitialiser les mots de passe. Les e-mails d'hameçonnage individualisés sont les plus répandus. Dernièrement, un tel courriel a endommagé le réseau du Parlement allemand à tel point qu'il a dû être réinstallé et mis hors service pendant plusieurs jours au prix de plusieurs millions de dollars. Le pirate envoie un e-mail crédible, éventuellement à un grand nombre de comptes de messagerie. Si un seul employé clique sur le lien insidieux qu'il contient, le pirate obtient l'accès au réseau.

Il existe un certain nombre de mesures de précaution permettant aux entreprises et aux collaborateurs de se protéger contre ces attaques. La première règle pour les employés est de rester vigilants. Ils doivent remettre en question tout e-mail entrant inattendu contenant une pièce jointe ou un lien. Si le contenu semble trop beau pour être vrai, il l'est probablement.

Confiance zéro

Les entreprises qui souhaitent se prémunir contre une telle éventualité doivent comprendre qu'en principe, tout et n'importe qui peut représenter une menace. Il ne s'agit pas de paranoïa, mais d'une prise en compte du fait que les criminels ont des intérêts financiers solides dans les données et qu'ils exploiteront toute faille ou vulnérabilité qui se présentera.

Dans ce contexte, chaque matériel ou logiciel utilisé représente une porte d'entrée potentielle pour les pirates informatiques. Les entreprises peuvent techniquement mettre en place un environnement "zero trust" en implémentant un pare-feu. L'attitude dominante selon laquelle les actions seraient généralement dignes de confiance est abolie. Chaque action est examinée avec le même degré de méfiance, quelle que soit la personne qui l'effectue. Les entreprises doivent veiller à ce qu'aucun appareil utilisé par les collaborateurs ne puisse accéder à des points critiques du réseau ou à des données sensibles sans être détecté. Si une telle opération est découverte, elle doit faire l'objet d'une enquête approfondie dans le but d'y remédier.

Des précautions simples pour se protéger

Pour le grand public, le vol de données est principalement associé aux attaques contre les grandes organisations et les gouvernements. Cela ne signifie pas pour autant que ces derniers sont les seuls à pouvoir être la cible d'un piratage. De nombreuses petites et moyennes entreprises ont des plans et des documents qui sont très intéressants et précieux pour les concurrents ou les partenaires de négociation en Suisse et à l'étranger. De nombreuses petites entreprises enregistrent des informations de grands groupes pour traiter leurs commandes. Et même les plus petites start-up numériques avec peu de collaborateurs ont souvent déjà enregistré des milliers de données de cartes de crédit. Les entreprises de toutes tailles ont donc quelques précautions simples à prendre pour protéger leur réseau :

• être méfiant et informé des menaces de sécurité potentielles : Les logiciels de sécurité sont le principal niveau de défense contre les attaques. Mais le personnel peut également apporter une contribution précieuse en s'interrogeant sur tous les événements suspects survenant sur le web ou dans la boîte de réception des e-mails et en les signalant le cas échéant.
• Mettre en place un environnement zéro-trust : Il est beaucoup plus difficile pour les pirates de s'introduire dans le système et de se cacher si les processus importants sont examinés minutieusement comme sous un microscope, quel que soit l'utilisateur qui les a initiés.
• Prévoir un budget pour la sécurité informatique : au lieu de payer des réparations, des amendes, des frais d'avocat et des mesures de communication après un vol de données, les entreprises devraient éviter d'en arriver là avec une fraction de ce montant. Vous devez vous assurer que vous avez en place le matériel et les logiciels nécessaires pour compliquer et empêcher le vol de données. Les chiffres susmentionnés de l'Institut Ponemon peuvent aider à quantifier le risque et à fixer le montant.

Auteur : Wieland Alge, Vice-Président et Directeur Général EMEA chez Barracuda Networks