Le coût des fuites de données, Partie III

coût des fuites de données

Cet article fait partie de la série « Le coût des fuites de données ». Consultez les autres parties :

Combien une fuite de données coûte-t-elle à mon entreprise ? Si vous avez suivi cette série d’articles, vous savez qu’il existe un écart colossal entre les chiffres annoncés par Ponemon et Verizon DBIR (et d’autres chercheurs) pour le coût moyen par enregistrement. Verizon a intentionnellement joué la provocation avec ses 0,58 $ par enregistrement. Toutefois, les résultats plus pratiques (et moins médiatiques) de Verizon étaient basés sur un modèle différent qui a conduit à l’identification de coûts moyens par enregistrement davantage dans la lignée de l’analyse de Ponemon.

Comme je l’ai expliqué, le problème plus large est qu’une moyenne unique correspondant à un ensemble de données asymétrique ou basé sur une loi des puissances n’est pas le meilleur moyen de comprendre ce qui se passe.

Malheureusement, lorsque nous introduisons des moyennes basées sur les nombres d’enregistrements, le problème est encore pire. *Long soupir*

Fausses informations : la polémique qui oppose Ponemon et Verizon

Autrement dit, les données Verizon (basées sur les déclarations aux sociétés d’assurance fournies par NetDiligence) contiennent des fuites de données monstrueuses en bout de queue, lesquelles génèrent des centaines de millions d’enregistrements — et constituent donc un énorme dénominateur pour calculer la moyenne.

J’aurais dû préciser la dernière fois que l’ensemble de données de Ponemon est basé sur des fuites de données portant sur moins de 100 000 enregistrements. Du fait que les cyberattaques entraînent des frais fixes très élevés de conseil et d’analyse des données, vous obtiendrez inévitablement une moyenne plus élevée en divisant le coût des incidents par un dénominateur plus faible.

En bref : le coût moyen par enregistrement de 201 $ pour Ponemon et 58 $ pour Verizon est une fausse polémique basée sur la comparaison des extrêmes de cet ensemble de données très bizarre.

Comme je l’ai montré, lorsque l’on ignore le nombre d’enregistrements et que l’on utilise les coûts moyens par incident, on obtient un meilleur compromis entre Verizon et Ponemon – environ 6 millions de dollars par fuite de données.

Il y a un « mais ».

Puisque l’on a affaire à des lois de puissance, la moyenne unique n’est pas représentative. Pourquoi ? Parce qu’une part conséquente de l’échantillon se situe au début de la queue et que la médiane — le coût d’incident sous lequel figurent 50 % des incidents — est très éloignée de la moyenne !

Mon analyse du dernier billet, basée sur les lois de puissance, a débouché sur mon extraordinaire tableau IOS Data Incident Cost Table© à trois niveaux. J’ai décomposé l’ensemble de données à queue épaisse (basé sur les chiffres de NetDiligence) en trois segments plus réduits — Économie, Économie Plus, et Classe Affaires — pour obtenir des moyennes bien plus représentatives.

Ma classe Économie, basée sur 50 % de l’échantillon a un coût moyen par incident de 1,4 million de dollars, par rapport à la moyenne générale de 7,6 millions de dollars. Cela fait une énorme différence ! Vous pouvez considérer ce coût moyen correspondant à 50 % des incidents comme une sorte d’hybride entre la médiane et la moyenne — il est lié à la terrible courbe de Lorenz de la dernière fois.

Ponemon et les dégâts

Revenons au monde réel et penchons-nous de nouveau sur l’enquête de Ponemon. Son analyse repose sur les réponses données par des personnes réelles travaillant dans des centaines d’entreprises du monde entier.

Ponemon calcule alors un coût total tenant compte des dépenses indirectes liées aux comptes — surveillance du crédit pour les clients affectés, analyse détaillée des données — et des frais indirects plus flous pouvant inclure les heures supplémentaires des employés et les pertes d’activités potentielles.

Ces frais indirects sont importants : dans l’enquête 2015, ils représentaient presque 40 % du coût total d’une fuite de données !

Pour ce qui est de la limite des 100 000 enregistrements, Ponemon a bien conscience du problème et met en garde contre le fait que son coût moyen pour une fuite de données ne doit pas être appliqué aux fuites de grande envergure. Par exemple, la fuite de données de Target, en 2014, a exposé les numéros de carte de crédit de plus de 40 millions de clients, pour un total général dépassant plus de 8 milliards de dollars sur la base de la moyenne Ponemon. En réalité, les coûts subis par Target suite à la fuite de données étaient bien plus faibles.

On apprend des choses bien utiles lorsque l’on examine plus en détail les rapports Ponemon.

Dans son enquête 2016, Ponemon indique que le fait d’avoir une équipe de réponse aux incidents abaisse le coût par enregistrement de 16 $ ; la Prévention des pertes de données (DLP) entraîne une baisse supplémentaire de 8 $, et les programmes de classification des données diminuent le coût de 4 $ supplémentaires.

Autre fait important, un autre facteur qui contribue de manière notable aux coûts indirects est ce que l’on appelle le phénomène d’« attrition », défini par Ponemon comme le fait que des clients mettent un terme à leur relation à cause de leur perte de confiance envers l’entreprise, en conséquence à une fuite de données.

Ponemon tient également compte de la « baisse d’acquisition de nouveaux clients », un autre coût indirect lié à l’attrition, qui correspond au coût induit par la perte d’activité future due à l’atteinte à l’image de la marque.

Ces coûts sont basés sur l’examen de statistiques d’entreprise par les analystes de Ponemon qui associent une valeur de « durée de vie » à un client.

baisse d'acquisition de nouveaux clients

Ça fait mal : les données de Ponemon sur la perte d’activité

En comparant les taux d’attrition après une fuite aux moyennes historiques, les analystes peuvent détecter les taux anormaux et attribuer le coût à l’incident.

Ponemon a consolidé la perte d’activité liée à l’attrition, les coûts de la baisse de l’acquisition de nouveaux clients et les dommages dus à l’image dans un graphique en barres (ci-dessus), divisé par pays. Pour les États-Unis, le coût d’opportunité moyen d’une fuite de données approche les 4 millions de dollars.

Avec ce chiffre en tête, il est utile de considérer le coût moyen par enregistrement piraté comme une mesure de l’ensemble des dégâts subis par l’entreprise.

Qu’est-ce que cela signifie ?

En plus des dépenses réelles, vous pouvez considérer que la moyenne de Ponemon tient aussi compte du travail et des efforts émotionnels fournis par les services informatiques, juridiques, centre d’appels et consultants ; de l’attention supplémentaire portée à la marque et à la promotion des produits futurs ; des ressources administratives et des ressources humaines amenées à intervenir pour régler les problèmes de personnel et de moral après la fuite de données.

Tous ces facteurs méritent d’être pris en compte lorsque votre organisation prévoit de mettre en place son propre programme de lutte contre les fuites de données.

Quelques réflexions supplémentaires

Dans nos discussions avec des professionnels de la sécurité, des avocats et même avec le dirigeant d’une petite entreprise directement touchée par un piratage, nous avons constaté qu’une fuite de données peut occasionner des perturbations très importantes.

Ce n’est pas seulement le « prix des affaires », comme on a pu le lire dans un article. Ces dernières années, plusieurs CEO ont été mis à la porte. Plus récemment, pour Equifax, en plus de la fuite de données, des démissions et des « départs en retraite » des dirigeants, c’est l’existence même de la société qui est menacée par les actions en justice.

Les fuites de données ont quelque chose de différent. Les informations sur les clients et les dirigeants, ainsi que la propriété intellectuelle de l’entreprise, peuvent être exploitées à l’aide méthodes plus créatives et diaboliques les unes que les autres — vol d’identité, chantage, menaces concurrentielles

Même si les coûts directs évidents, bien qu’élevés, ne s’élèvent pas aux 100 à 200 dollars par enregistrement annoncés dans la presse, une cyberattaque entraînant l’exposition des données reste un incident coûteux — comme nous l’avons vu plus haut, plus d’un million de dollars en moyenne pour la plupart des entreprises.

Et sur le long terme, les coûts moyens de Ponemon sont la seule mesure que je connaisse qui reflète la prise en compte de ces inconnues.

Ce n’est peut-être pas une mauvaise idée d’avoir peur des statistiques de Ponemon et de revoir vos politiques en matière de sécurité des données.

Pourquoi ne pas commencer par une évaluation des risques gratuite ?