Fuites de données : toujours fréquentes et de plus en plus chères

La perte d'informations coûte plus cher qu'il y a deux ans. Selon Ponemon Institute, le prix à payer par donnée ainsi compromise serait passé de 89 euros en 2009 à 122 euros en 2011. Soit une augmentation de 16 %. Pour obtenir ces résultats, l'institut collecte les dépenses directes (investigations extérieures, support technique externalisé…) et indirectes (audits et communications internes, estimation de désaffections de clients) dues à un vol d'informations. Parmi les premières causes de fuites, figurent les attaques malveillantes (43 %), suivies des négligences de la part des utilisateurs ou des sous-traitants (30 %). Deux tendances qui pourraient même parfois être liées : en effet, l'introduction involontaire d'un virus dans le système d'information peut en faire la source de l'attaque malveillante.Ces taux expliquent aussi en partie pourquoi le poste d'investissement le plus important après incident concerne la sensibilisation des utilisateurs aux bonnes pratiques de sécurité. Un réflexe aussi rassurant que révélateur. “ Malgré lui, l'utilisateur est le maillon faible dans 99 % des cas ”, témoigne Nathalie Risacher, RSSI (responsable de la sécurité du système d'information) de Natixis New York. Cette dernière affirme que sensibilisation et audit réduisent les risques de négligences. “ Je fais des tests de phishing à partir de scénarios que j'élabore moi-même et les résultats sont très probants ”, ajoute-t-elle^(*).

Développer une culture de la sécurité

Laurent Heslault, directeur des stratégies de sécurité chez Symantec, rappelle lui aussi l'importance de la présence d'une politique de protection des données. Et insiste sur le fait que “ les entreprises doivent développer une culture de la sécurité avec des formations, des règles et des actions ”. Car si la sensibilisation à la sécurité est en tête des réponses après incident, il aurait mieux valu qu'elle intervienne en amont. Même s'il vaut mieux tard que jamais.Toujours selon Ponemon Institute, embaucher un RSSI réduirait, en moyenne, le coût de la perte de 63 euros par donnée compromise. Un facteur non négligeable, surtout si l'on tient compte du fait qu'une non-préparation à la gestion de ce type de problème augmenterait la note de 59 euros. L'étude révèle enfin, sans réelle surprise, que les solutions de sécurisation du poste de travail sont reléguées en sixième position du classement des réponses aux incidents. Notons qu'en France, selon les analystes de l'institut, les secteurs financiers et publics seraient visiblement les plus touchés. Une conclusion qui s'appuie sur l'examen de 23 cas de pertes de données, survenus dans 11 secteurs d'activité.(*) A lire sur 01-net entreprises : “ Prévenir les fuites de données ”.