Secu
Un vol de données coûte 2,86 millions d’euros en moyenne à une société française
Par La rédaction, publié le 05 juin 2013
Dans son étude annuelle, sponsorisée par Symantec, le Ponemon Institute montre que la cybersécurité n’est pas encore suffisamment prise au sérieux en France et que les entreprises en paient le prix fort.
Un chœur à l’unisson. Un ensemble constant. Du Centre d’analyse stratégique à l’ANSSI en passant par les acteurs du monde de la sécurité, comme Check Point ou Symantec, tous aboutissent à une même constatation, formulée plus ou moins différemment. « La sécurité n’est pas quelque chose de très naturel en France, ce n’est pas très latin. On est un peu arrogant ». Une formule sans arrière-pensée que nous confie Laurent Heslault, directeur des stratégies de sécurité chez Symantec, lors d’un entretien en rapport avec l’annonce de l’étude annuelle du Ponemon Institute sur le coût des violations de données, financée par l’éditeur.
Coût en hausse et transparence aux abonnés absents
Alors que dans des pays comme les Etats-Unis ou l’Australie, le coût lié aux violations de données pour les entreprises est en baisse pour la deuxième année consécutive, en France, le même barème est en hausse constante depuis quatre ans et a cru de 11% entre 2011 et 2012, pour s’établir à 2,86 millions d’euros par incident.
Un chiffre qu’il faut mettre en perspective non pour le minorer mais pour donner à réfléchir. Tout d’abord, il est difficile de donner une vraie valeur à l’information qui a été volée. A la donnée à proprement parler, et, ensuite, à la cascade de dépenses et coûts entraînée par le vol. Enfin, ce chiffre est établi, nous explique Laurent Heslault, à partir d’entretiens réalisés avec 26 entreprises françaises de toute taille, de la PME au grand compte, qui représentent une dizaine de secteurs d’activités. Or, dans l’Hexagone, la transparence en matière de sécurité et d’exposition à des attaques n’est pas encore un réflexe. Même si « certains secteurs sont plus matures que d’autres, avec de grosses différences au sein d’un même secteur ».
Le coût du silence
Une loi du silence à laquelle il faudrait mettre un terme, même si le premier pas, celui de la communication ne sera pas aisé. En France, le « taux d’attrition des clients », la perte de clients et de réputation après une violation de données, est « le plus élevé des neuf pays audités (qui sont, en sus de la France, l’Allemagne, le Royaume-Uni, l’Italie, l’Inde, le Brésil, le Japon, l’Australie et les Etats-Unis, NDLR) », indiquait Laurent Heslault. Le marché français enregistre une hausse du coût liée aux pertes commerciales, telle qu’il faut remonter à 2010 pour en trouver une semblable. Le coût des pertes d’activité ou de contrat passe ainsi de 780 000 euros en 2011 à 1,19 million d’euros en 2012, par incident. Un chiffre qui s’explique par l’importance que prend l’activité numérique mais également par le renforcement d’une tendance lourde, la professionnalisation des attaques.
A voleurs d’information professionnels…
Des experts qui agissent souvent sur commande, d’un concurrent commercial ou étatique. Il existe même « des gangs spécialisés dans le vol de portable ou mobile de PDG », glisse, à titre d’exemple, le directeur des stratégies de sécurité de Symantec.
Ainsi, les « attaques malveillantes restent la première cause de violation de données en France », elles comptent pour 42% des cas. Logiquement, les attaques orchestrées de l’extérieur coûtent plus chères à la société touchée. Sauf si celle-ci a pris des dispositions en amont.
Sécurité professionnelle…
Pour Laurent Heslault, une des premières ripostes est à trouver dans la « gestion de risque […] souvent négligée ». « Les coûts liés aux intrusions sont moins élevés dans les entreprises dotées de plans de sécurité et de réponse après incident » explique-t-il. Avant même qu’on puisse entrevoir le début d’un discours commercial, il continue : « La solution technique ne représente qu’un tiers de la solution globale », analyse-t-il. Le deuxième tiers étant les procédures à établir, en collaboration entre le responsable sécurité, les prestataires de sécurité et la composante métier, autrement dit les personnes qui l’utilisent.
Or, « en France, on est en mode rustine », constate-t-il, indiquant que généralement lui et ses équipes interviennent dans une entreprise en pleine panique après une attaque. Il se rappelle, sans en citer le nom, d’une entreprise où des responsables lui juraient que seules trois personnes avaient accès à un document. Après étude du trafic sur le réseau, 191 personnes y avaient réellement accès. Au temps pour les procédures. Au temps pour l’humain. Car, l’utilisateur – et c’est le dernier tiers – est toujours responsables de 31% des violations de données, tandis que les erreurs système ne se voient imputer que 27% de ces mêmes intrusions.
De bons freins pour aller plus vite
Pour Laurent Heslault, outre le problème de la prise de conscience et de la mise en place d’une véritable politique de sécurité d’entreprise, il y a également un souci de responsabilisation des dirigeants. Un point où les Etats-Unis, avec leur réglementation plus dure et leur système de class action ont réussi à inciter et contraindre grandement les entreprises à prendre les devants pour préserver leurs données ou celles de leurs utilisateurs.
Pour autant, de manière générale, Laurent Heslault pense que les choses vont s’améliorer. Il faudra des efforts pédagogiques, des prises de conscience : « penser que la sécurité, c’est gratuit, est une erreur », lâche-t-il. Il ne peut s’empêcher de rappeler ensuite que la France est le pays avec le plus d’antivirus gratuit sur des postes de travail et de commenter que les Français ont « un rapport à la sécurité assez drôle ».
Changer la vision de la sécurité, voilà le gros de l’enjeu. Les entreprises devront elles « changer de paradigme » et commencer à penser qu’un « frein ne sert pas à s’arrêter mais plutôt à aller plus vite ». « Quand on ne peut pas freiner, on ne peut pas aller vite. Alors que si on a de bons freins, on peut toujours s’arrêter », s’amuse-t-il.
Le cloud en solution au problème ?
Il rappelle alors qu’il y a quatre types de gestion de risque : celui où on prend le risque, celui où on arrête l’activité qui est trop dangereuse, celui où on soustraite le risque et, enfin, celui où on le gère… Visiblement certaines entreprises peinent à le maîtriser. Avec le cloud, à défaut de savoir le gérer, les entreprises françaises pourraient le transférer, avec toutes les questions sur la pérennité des services et le contrôle sur les données que pose cette technologie. De nouvelles sources d’inquiétudes et de problèmes ? Sans doute. Mais déjà naissent de nouvelles réponses. Les normes de qualité de service pour le cloud, par exemple, commencent à prendre forme, ce qui pourrait en faire , paradoxalement peut-être, une solution aux problèmes de la violation de données. Chaque solution à son problème et inversement. Les données volées coûtent de plus en plus chères en France et la tendance devrait continuer tant que les sociétés ne prendront pas la mesure de l’enjeu de la cybersécurité. Un long combat, qui n’est pas perdu pour autant. Et Laurent Heslault de conclure : « de par mon métier, je suis paranoïaque, mais optimiste… ».
A lire aussi :
Cybersécurité : l’année 2012 a vu exploser le nombre de cyberattaques – 16/04/2013
L’ANSSI pourrait voir son poids renforcé au cœur de la cybersécurité nationale – 19/03/2013