Le prix de l’atteinte à la protection des données et comment éviter d’avoir à le payer

Cropped Favicon Economi Matin.jpg
Par Wieland Alge Publié le 24 août 2015 à 5h40
Hacker Banques Securite Informatique
@shutter - © Economie Matin
5,9 MILLIONS €La moyenne totale du coût organisationnel d'une atteinte à la protection des données est passée d'environ 4,8 millions d'euros en 2013 à 5,9 millions d'euro

Ces 12 derniers mois, plusieurs atteintes à la protection des données ont fait un véritable tapage médiatique. Plus récemment, les détails sur les membres inscrits au site web de rencontres et d'infidélité, Ashley Madison, ont été volés. Un petit pourcentage des données volées incluant les noms et les adresses a été mis en ligne peu après l'attaque.

Bien que l'attaque d'Ashley Madison ait été un choc pour les 37 millions d'utilisateurs du site, les attaques de cette sorte deviennent de plus en plus fréquentes. Mais quelles sont les répercussions de l'atteinte à la protection des données? Sony Pictures, victime d'unecyberattaque en 2014, a prédit que l'atteinte à la protection des données coûterait plus de 27 M€ pour l'année fiscale complète. La réparation des dommages causés peut représenter une facture salée. La restauration des systèmes financiers et IT entraîne des dépenses aussi bien en main-d'œuvre qu'en logiciels et matériels.

Quel est le vrai prix de l'atteinte à la protection des données?

Une étude réalisée par l'institut Ponemon a tenté de déterminer le prix de l'atteinte à la protection des données. Le rapport mentionneles chiffres clés suivants :

- Une atteinte à la protection des données coûterait aux entreprises en moyenne 68€ en frais directs pour remédier à la situation, et 130€ en frais indirects comme une perte de clientèle. Il s'agit d'un nouveau record de 197€ par dossier compromis.

- La moyenne totale du coût organisationnel d'une atteinte à la protection des données est passée d'environ 4,8 millions d'euros en 2013 à 5,9 millions d'euro

- Les frais de détection et les frais indirects sont passés d'environ 383 000€ à 567 000 €. Ces chiffres ont indiqué une augmentation de l'investissement en activités juridiques et inspections, en services d'évaluation et de vérification, en gestion d'équipe de crise, et en communication avec les parties prenantes et la direction.

- Les frais survenant après l'atteinte à la protection des données ont également augmenté. Ces coûts comprennent habituellement les activités du centre d'assistance, les communications entrantes, les enquêtes spéciales et les mesures correctives, les frais juridiques et plus. Ces frais ont augmenté, passant de 1450 million d'euros en 2014 à 1486 million d'euros dans l'enquête de cette année.

Il est clair selon ces chiffres que l'atteinte à la protection des données est très coûteuse. Or, pour les entreprises, il y a aussi un problème de perte de confiance de la clientèle. Pour éviter d'être la prochaine victime au cœur d'un scandale d'atteinte à la protection des données, les organismes doivent prendre la sécurité au sérieux.

Un mot d'ordre : Éducation

En plus d'avoir les bonnes solutions en matière de sécurité, les employeurs doivent renseigner leur personnel sur les bonnes pratiquesà adopter. Pour les hackers voulant obtenir des données, il est plus facile de cibler des employés directement que de s'attaquer au pare-feu. Les employeurs doivent renseigner leurs personnels pour les sensibiliser aux techniques de piratage comme l'hameçonnage et les attaques de social engineering. L'hameçonnage ressemble beaucoup à ce qu'indique son nom. Le pirate enverra un courriel, qui peut sembler légitime, à tout un groupe de boîtes de réception. Il suffit qu'un seul employé clique sur le lien malveillant et les pirates pourraient accéder au réseau.

Il y a une panoplie de précautions que les entreprises et le personnel peuvent prendre pour se protéger des piratages.

Les employés doivent être vigilants, en se méfiant de tout courriel inattendu contenant une pièce jointe dans leur boîte de réception.

Ne faire confiance à personne, se méfier de tout le monde

Si les organismes veulent renforcer la protection de leur réseau, ils doivent se rendre compte que la menace peut venir de n'importe qui et de n'importe où. Chaque partie de logiciel et de matériel pourrait représenter un chemin potentiel pour des pirates. Cela rappelle que les organismes doivent travailler dans un environnement « zéro trust ». Les environnements « zéro trust » sont implantés par les pare-feu et enlèvent la supposition automatique qu'une action ou que des actions devraient être fiables. Chaque action doit être traitée avec le même niveau de soupçon, peu importe la provenance de l'action. Tout appareil compromis appartenant à un employé doit être détecté et capable de reprendre son rôle important au sein des réseaux et des données. Si un problème survient, il doit être scruté à la loupe et faire l'objet d'une enquête jusqu'à ce qu'il soit résolu.

Étapes simples de protection

L'atteinte à la protection des données devient de plus en plus connue du grand public à la suite d'attaques envers de grandes entreprises et des gouvernements. Or, cela ne signifie pas pour autant que ces derniers sont les seules cibles de piratage informatique. Les entreprises de toutes tailles devraient suivre ces étapes faciles pour garder un réseau sécurisé :

- Former les employés pour qu'ils demeurent vigilants et les renseigner au sujet des menaces émergentes - la meilleure défense est d'avoir des solutions de sécurité adéquates et des procédures implantées. De plus, le personnel a un rôle à jouer en remettant en question tout ce qui semble suspect dans sa boîte de réception ou sur le Web.

- Travailler dans un environnement « zero trust » - si tout est scruté à la loupe, alors il devient de plus en plus difficile pour les pirates de réussir et de se cacher.

- Créer un budget réservé pour la cybersécurité - pour éviter de payer les frais survenant après une atteinte à la protection des données, soyez prévoyant et assurez-vous d'avoir en place les bons logiciels et matériels plutôt que de réagir à un piratage ou à une perte de données.

Une réaction ? Laissez un commentaire

Vous avez aimé cet article ? Abonnez-vous à notre Newsletter gratuite pour des articles captivants, du contenu exclusif et les dernières actualités.

Cropped Favicon Economi Matin.jpg

Vice Président Europe chez Barracuda Networks.  À propos de Barracuda Networks, Inc. (NYSE : CUDA) Barracuda fournit des solutions Cloud de stockage et de sécurité qui simplifient les systèmes informatiques. Plus de 150 000 entreprises à travers le monde ont déjà confiance en ces solutions à la fois puissantes, simples d'emploi et à prix abordable qui combinent des appareils 'réels' et virtuels ainsi que des déploiements Cloud et hybrides. Le modèle d'affaires de Barracuda, basé sur la clientèle, a pour objectif d'offrir des solutions informatiques haut de gamme, à abonnement, qui fournissent une protection bout en bout des données et du réseau. Pour en savoir plus, veuillez visiter le site http://www.barracuda.com.

Aucun commentaire à «Le prix de l’atteinte à la protection des données et comment éviter d’avoir à le payer»

Laisser un commentaire

* Champs requis