Beaucoup d’experts se sont essayés au calcul du coût que pouvait représenter une fuite de données pour une entreprise. Deux approchent proposées par Verizon et Ponemon Institute sont intéressantes mais pourtant elles divergent en de nombreux points.
Quel est le coût d’une violation de données pour les entreprises ? Une question à laquelle il est bien difficile de répondre. Si vous avez lu la presse professionnelle récemment, vous savez certainement qu’il y a deux façons d’aborder le problème. La question a pour la première fois créé la polémique en 2015, époque à laquelle des experts de Verizon ont publié une étude sur les coûts liés à une violation de données dont les résultats différaient radicalement de ceux du Ponemon, cabinet d’étude de référence spécialisé dans la compromission des données.
Le rapport DBIR (Data Breach Investigations Report) de Verizon, une enquête annuelle sur les statistiques de violations de données, annonçait en effet un coût moyen de seulement 0,58 dollar par enregistrement piraté. Sur la même période, le coût moyen évalué par le Ponemon s’établissait quant à lui à 201 dollars.
Verizon contre Ponemon
Deux raisons principales expliquent une telle différence. Il est très difficile d’obtenir des informations sur le coût des violations de données. Là où Verizon a réussi un coup de maître, c’est en se procurant les déclarations de sinistre liées au cybercrime auprès de NetDiligence, un organisme qui compile toutes les données d’assurance. Il s’agit là de précieuses informations. N’oublions pas cependant que les indemnités d’assurance peuvent être bien inférieures aux coûts réels du fait des franchises et autres limitations.
Seconde raison : les données fournies par NetDiligence sont très asymétriques. Un petit nombre d’incidents peut majorer de manière disproportionnée le volume d’enregistrements piratés sans augmenter proportionnellement les coûts, d’où une réduction du coût moyen par enregistrement.
Parfaitement conscients du problème, les analystes de Verizon reconnaissent avoir joué la carte de la provocation vis-à-vis du Ponemon en estimant le coût d’une violation de données à moins d’un dollar par enregistrement. Dans leur rapport, ils proposent un modèle intermédiaire dont le résultat se rapproche de celui du Ponemon.
Quid des chiffres du Ponemon ?
Le principal point à garder à l’esprit est que l’analyse du Ponemon est basée sur des entretiens avec des centaines d’entreprises à travers le monde. L’institut détermine ensuite le coût total en tenant compte des frais directs (surveillance du crédit des clients concernés, analyse détaillée des données) et de frais indirects plus flous pouvant inclure les heures des employés et la perte d’activité potentielle.
Ces coûts indirects sont importants : dans l’enquête 2015, ils représentaient près de 40 % du coût total d’une violation de données ! Le Ponemon a par ailleurs employé une méthodologie très différente de celle de Verizon, uniquement basée sur les violations de données portant sur moins de 100 000 enregistrements. Les coûts fixes étant les mêmes pour chaque incident (analyse détaillée, conseil), moins il y a d’enregistrements, plus la moyenne augmente.
Le Ponemon est conscient du problème et met en garde contre le fait que son calcul du coût moyen d’une violation de données ne s’applique pas aux violations de grande envergure. Par exemple, la violation de données dont l’entreprise Target a été victime en 2014 a exposé les numéros de carte bancaire de plus de 40 millions de clients, soit un total de plus de 8 milliards de dollars si l’on se base sur la moyenne établie par le Ponemon. En réalité, les coûts subis par Target suite à la violation de données sont bien inférieurs.
Approche intermédiaire
Verizon a également conscience que le coût brut moyen n’est pas un bon critère de prédiction. Le calcul du coût total d’un incident sur la base de 0,58 dollar par enregistrement est donc déconseillé. C’est pourquoi la société a mis au point un modèle de calcul plus précis (techniquement, une régression log-linéaire) pour son ensemble de données. Le coût d’une violation de données est alors bien supérieur à 0,58 dollar, mais reste inférieur à 201 dollars.
Verizon a par exemple publié un tableau très pratique dans son rapport DBIR 2015. Le coût moyen estimé s’y situe aux alentours de 4,70 dollars par enregistrement dans le cas d’incidents impliquant 100 000 enregistrements ou moins. Toutefois, à l’extrémité supérieure de l’intervalle de confiance, ce chiffre est plus proche de 102 dollars.
On est cependant encore très loin du coût moyen de 201 dollars avancé par le Ponemon. Néanmoins, si l’on déduit 40 % de cette moyenne (estimation de la part des coûts accessoires), nous nous rapprochons de la fourchette supérieure des prédictions de Verizon.
Ce qu’il faut, selon moi, retenir des analyses de Verizon et du Ponemon, c’est que le coût brut moyen par enregistrement n’est pas l’indicateur le plus pertinent pour prédire avec exactitude les dépenses auxquelles une entreprise devra faire face en cas de violation de données. Le tableau de Verizon basé sur son modèle de régression est une solution intermédiaire pratique pour une estimation rapide et plus réaliste du coût d’une violation.
Retour sur le Ponemon
Le Ponemon fournit des analyses extrêmement utiles dans ses études. Dans son enquête 2016, l’institut indique que la mise en place d’une équipe de réponse aux incidents réduit les coûts par enregistrement de 16 dollars. La prévention des pertes de données (DLP) et les programmes de classification des données entraînent respectivement une baisse supplémentaire de 8 et 4 dollars.
L’attrition constitue un facteur de coûts indirects important. Le Ponemon décrit ce phénomène comme le départ de clients existants en raison d’une perte de confiance dans l’entreprise suite à une violation de données. Autre facteur de coûts indirects lié à l’attrition, la baisse d’acquisition de nouveaux clients correspond au coût induit par la perte d’activité future due à l’atteinte à l’image de la marque.
Ces estimations reposent manifestement sur l’examen de statistiques internes des entreprises par les analystes du Ponemon qui associent une valeur de « durée de vie » à un client. Elles offrent un éclairage intéressant sur les conséquences d’une violation de données. Le Ponemon observe que le taux d’attrition varie par secteur, avec, en haut de l’échelle, les domaines de la santé et de la finance et, en bas, les médias, le commerce de détail et l’hôtellerie.
Grâce à une analyse poussée de chaque incident, l’enquête du Ponemon montre que le coût moyen d’une violation de données dépasse le cadre des dépenses réelles. En gardant ce principe à l’esprit, il est important de considérer le coût moyen par enregistrement piraté comme une mesure de l’ensemble des préjudices subis par l’entreprise.
En plus des dépenses réelles, la moyenne du Ponemon tient aussi compte du travail et des efforts émotionnels fournis par les services informatiques et juridiques, les centres d’appels et les consultants, de l’attention supplémentaire portée à l’image de marque et à la promotion des produits futurs, ainsi que des ressources administratives et RH nécessaires pour régler les problèmes de personnel et de baisse de moral après une violation de données.
Quel calcul appliquer ?
Le coût moyen d’une violation de données varie considérablement d’une année sur l’autre et dépend beaucoup du type de données piratées. Par exemple, les coûts liés au vol de cartes bancaires ou de numéros de sécurité sociale tendent à relever la moyenne, car les entreprises doivent souvent s’acquitter de frais de surveillance du crédit des clients, auxquels s’ajoutent les coûts élevés des poursuites judiciaires engagées par les victimes. Autrement dit, les coûts sont difficilement prévisibles.