Vous êtes sur la page 1sur 82

Rapport sur le coût

d’une violation de la
confidentialité des
données 2020
Sommaire

Synthèse 3
Nouveautés dans le rapport 2020 5
Mode de calcul du coût d’une violation de la confidentialité des données 7
Résultats clés 8

Résultats complets 13
Conclusion globales et résultats marquants 14
Causes premières d’une violation de la confidentialité des données 29
Facteurs qui influent sur le coût d’une violation 41
Tendances et efficacité en matière d’automatisation de la sécurité 46
Délai nécessaire pour identifier et confiner une violation de la confidentialité
des données 51
Coûts à long terme d’une violation de la confidentialité des données 58
Impacts potentiels du COVID-19 62
Coût d’une méga-violation 66

Étapes pour minimiser les impacts financiers


et sur la marque d’une violation de la confidentialité des données 68

Méthodologie de recherche 71
FAQ sur le coût d’une violation de la confidentialité des données 72
Caractéristiques des organisations 74
Définitions des secteurs d’activité 78
Limites de la recherche 79

À propos du Ponemon Institute et d’IBM Security 80

Étapes à suivre 81

2
Synthèse

Cela fait 15 ans que le Ponemon Institute mène Faits du Rapport sur le
des recherches pour produire son Rapport sur coût d’une violation de la
confidentialité des données
le coût d’une violation de la confidentialité des
données annuel, et depuis cinq ans, ce rapport est
sponsorisé et publié par IBM Security. Notre objectif

524
est que les organisations utilisent ces recherches
pour favoriser l’innovation tout en maintenant des
relations de confiance avec leurs clients, à une
organisations victimes d’une
époque où les violations de données et les incidents violation
de cybersécurité constituent des risques pour les

3 200
organisations de tous types et de toutes tailles.

Ce rapport est devenu l’un des principaux outils de référence dans le secteur
de la cybersécurité, offrant aux responsables informatiques, de la gestion
personnes interrogées
des risques et de la sécurité un aperçu ponctuel des facteurs qui atténuent

17
ou exacerbent les coûts liés à une violation de la confidentialité des données.
Ce rapport offre également un aperçu des tendances en matière de violation
de la confidentialité des données, démontrant à la fois la cohérence et les
fluctuations des coûts que nous avons analysés au fil du temps.
pays et régions
Pour son Rapport 2020 sur le coût d’une violation de la confidentialité

17
des données*, le Ponemon Institute a interrogé 524 organisations qui ont
connu des violations de données entre août 2019 et avril 2020. Afin de
garantir la pertinence de l’étude pour un large éventail d’organisations,
celles sélectionnées sont de tailles différentes et couvrent 17 pays et secteurs d’activité
régions ainsi que 17 secteurs d’activité. Nos chercheurs ont interrogé plus
de 3 200 personnes qui ont connaissance des incidents de violation de
données subis par leurs organisations.

*Les années citées dans ce rapport font référence à l’année de publication, pas nécessairement l’année au cours de laquelle les violations ont eu lieu.
Les violations de données analysées dans le rapport 2020 se sont produites entre août 2019 et avril 2020.

3
Synthèse

Au cours de nos entretiens, nous avons posé des dizaines de questions afin de
déterminer ce que les organisations ont dépensé pour financer leurs activités de
détection et de réponse immédiate lors d’une violation de données. Parmi les
autres problématiques abordées dans ce rapport qui peuvent avoir influencé le
coût, on retrouve notamment les causes premières de la violation de données,
le délai nécessaire aux organisations pour identifier et confiner l’incident, ainsi
que le coût estimé de l’interruption de l’activité et de la perte de clients à la
suite de cette violation. Nous avons examiné de nombreux autres facteurs de
coût, y compris les mesures de sécurité mises en œuvre avant la violation et les
caractéristiques des organisations et de leur environnement informatique.

Le rapport qui en résulte comporte ainsi un vaste ensemble de données, et


offre une analyse approfondie et un aperçu des tendances. Dans les pages
suivantes de cette synthèse, vous trouverez une brève explication de la façon
dont les coûts liés à une violation de la confidentialité des données sont
calculés, de même que les résultats clés de cette recherche. Pour une analyse
plus approfondie des données, la section « Résultats complets » propose 49
graphiques analytiques et démographiques.

Pour les responsables informatiques, les responsables de la stratégie


de cybersécurité et les responsables de la gestion des risques, nous
recommandons des mesures de sécurité qui peuvent réduire les possibles
impacts financiers et sur la marque d’une violation de la confidentialité des
données, en fonction des méthodes qui se sont avérées être les plus efficaces
pour les organisations représentées dans l’étude. Nous clôturons le rapport
avec une explication détaillée de notre méthodologie de recherche.

4
Synthèse

Nouveautés dans le rapport 2020

Nous visons à renouveler le rapport chaque année Statistiques d’une violation


pour proposer des analyses qui s’appuient sur les de la confidentialité des
données
rapports précédents et innovent en vue de suivre
l’évolution des technologies et des tendances, afin
de dresser un tableau plus complet des risques et
des normes en matière de sécurisation des données. 3,86 M$
Coût total moyen
L’année 2020 a été mémorable. En plus des changements cycliques sur
le plan des technologies et des menaces, une pandémie mondiale a

États-Unis
bouleversé la vie des entreprises et des consommateurs du monde entier.

Bien que nos recherches aient débuté plusieurs mois avant que la
Coût par pays le plus élevé
pandémie de COVID-19 n’ait des répercussions aussi considérables,
et après que la plupart des incidents de violation de données étudiés
se sont produits, nous avons demandé aux participants de répondre à
des questions supplémentaires sur l’impact potentiel des initiatives de
télétravail mises en œuvre en raison de la pandémie. Nous avons constaté
Santé
qu’une majorité d’organisations (76 %) estime que le télétravail rendrait la Coût par secteur d’activité
réponse à une possible violation de données beaucoup plus difficile. le plus élevé

De nouvelles recherches, dont les résultats ont été intégrés au rapport de

280 jours
cette année, offrent une analyse plus approfondie des types de données que
nous examinons depuis longtemps – y compris le coût par enregistrement
d’une violation de la confidentialité des données et les causes premières
Délai moyen nécessaire pour
de ces violations de données. Dans cette étude, pour la première fois, nous
avons segmenté le coût par enregistrement compromis pour identifier identifier et confiner
ces coûts en fonction du type d’enregistrement, y compris les données
personnelles des clients, celles des employés et la propriété intellectuelle.
Dans le cadre de l’analyse des causes premières des violations de données,
nous avons examiné des types plus spécifiques d’attaques malveillantes –
du vol de données d’identification aux menaces internes.

Pour la première fois, nous avons demandé aux participants d’identifier


le type d’acteur de menace présumé responsable de la violation subie
par leur organisation (ex. : pirates d’État-nation, pirates motivés par des
raisons financières). Notre analyse des coûts montre que le type le plus
courant d’attaques malveillantes – celles causées par des cybercriminels
motivés par des raisons financières – n’est pas le plus coûteux.

En outre, compte tenu de la multiplication des attaques par rançongiciel


et logiciel malveillant destructeur, nous avons intégré de nouvelles
analyses de coût au rapport de cette année qui révèlent que ces attaques
pernicieuses ont un coût moyen plus élevé que le coût moyen global d’une
violation de la confidentialité des données.

5
Synthèse

Plusieurs nouveaux facteurs de coût ont été ajoutés aux recherches de


cette année, notamment l’impact des tests de vulnérabilité et des tests

52 %
Red Team – qui utilisent une approche de confrontation pour les tests de
pénétration – ainsi que l’influence d’une main-d’œuvre à distance et d’une
pénurie de compétences en sécurité sur ces coûts. Sans surprise, la pénurie des violations sont
de compétences figure parmi les trois principaux facteurs qui augmentent le causés par une
attaque malveillante
coût moyen d’une violation de la confidentialité des données sur 25 facteurs
analysés, tandis que les tests Red Team se classent parmi les cinq principaux
facteurs atténuant le coût moyen d’une violation.

Parmi les nouvelles questions abordées figure une analyse plus approfondie
du rôle joué par le responsable de la sécurité des systèmes d’information
(CISO), et des types de coûts couverts par l’assurance cybersécurité.

Il convient de noter que le coût total moyen d’une violation de la confidentialité


des données a légèrement diminué dans le rapport de 2020, passant de 3,92
80 %
des violations
millions de dollars l’an dernier à 3,86 millions de dollars cette année, ce qui concernent les données
peut laisser penser que les coûts liés à une violation de la confidentialité des personnelles
des clients
données ont atteint un plateau.

Au contraire, notre étude semble montrer un écart croissant en termes de


coûts entre les organisations avec des processus de sécurité plus avancés
(ex. : automatisation, équipes dédiées à la réponse aux incidents) et celles
dont la situation en matière de sécurité est moins avancée.

Étant donné qu’il s’agit d’un rapport international, la vaste quantité de


données que nous avons collectée ne nous permet pas de souligner toutes
les nuances des coûts liés à une violation de la confidentialité des données
pour tous les pays et secteurs d’activité visés dans cette étude. C’est la
raison pour laquelle nous avons développé une calculatrice en ligne et un
outil d’exploration de données disponibles à l’adresse ibm.com/databreach,
que vous pouvez personnaliser afin de faire vos propres découvertes.

Nous espérons que vous obtiendrez des informations pertinentes pour


votre organisation et tirerez des conclusions qui pourront vous aider à
mieux protéger les données dont dépend le succès de votre activité.

6
Synthèse

Mode de calcul du coût d’une violation de la confidentialité des données

Pour calculer le coût moyen d’une violation de la confidentialité des


données, cette étude exclut les mini-violations et les méga-violations. Les Pour une explication plus détaillée des
violations de données examinées dans l’étude de 2020 concernent entre méthodes utilisées dans le cadre de ce
rapport, consulter la section relative à
3 400 et 99 730 enregistrements compromis. Nous effectuons une
la méthodologie de recherche.
analyse distincte pour examiner les coûts des « méga-violations », que
nous détaillons dans la section « Résultats complets » du rapport.

Cette étude utilise une méthode comptable appelée « chiffrage des coûts
par activité », qui identifie les activités et attribue un coût en fonction de
l’utilisation réelle. Quatre activités en lien avec les processus entraînent
diverses dépenses associées à la violation de la confidentialité des
données d’une organisation : détection et escalade, notification, réponse
post-violation de données et perte d’activité.

Ces quatre centres de coûts sont décrits ci-dessous.

Détection et escalade Perte d’activité


Activités qui permettent à une organisation de Activités qui tentent de minimiser la perte de clients,
raisonnablement détecter la violation de données. l’interruption de l’activité et les pertes de revenus.

— Activités d’enquête et d’investigation — Interruption de l’activité et pertes de revenus dues au


— Services d’évaluation et d’audit temps d’indisponibilité du système
— Gestion de crise — Coût associé à la perte de clients et à l’acquisition de
— Communications à destination des dirigeants et des conseils nouveaux clients
d’administration — Pertes de réputation et fonds commercial réduit

Notification Réponse a posteriori


Activités qui permettent à l’organisation de notifier Activités destinées à aider les victimes d’une violation de
les personnes concernées, les autorités de régulation données à communiquer avec l’organisation, et activités
chargées de la protection des données et d’autres tiers. d’indemnisation des victimes et des autorités de régulation.

— E-mails, lettres, appels sortants ou avis général aux — Centre d’assistance et communications entrantes
personnes concernées — Services de surveillance des crédits et de protection des
— Détermination des exigences réglementaires identités
— Communication avec les autorités de régulation — Création de nouveaux comptes ou émission de nouvelles
— Engagement d’experts externes cartes de crédit
— Dépenses juridiques
— Remises sur les produits
— Amendes réglementaires
7
Synthèse

Résultats clés

Les résultats clés décrits ici sont basés sur l’analyse par IBM Security des données
de recherche compilées par le Ponemon Institute.

-1,5 %
Variation nette du coût total
Le coût total moyen d’une violation de la
confidentialité des données a légèrement diminué
d’une année à l’autre, mais les coûts ont augmenté
moyen, 2019-2020 pour de nombreuses organisations.

Malgré une baisse nominale des coûts, qui sont passés de 3,92 millions
de dollars dans l’étude de 2019 à 3,86 millions de dollars dans l’étude de
2020, ils sont beaucoup plus faibles pour les organisations et les secteurs
d’activité les plus matures, et beaucoup plus élevés pour les organisations
en retard dans des domaines tels que l’automatisation de la sécurité et les
processus de réponse aux incidents. De la même manière, une analyse
plus approfondie du coût moyen d’un seul enregistrement perdu ou volé
(coût par enregistrement) montre une grande variabilité selon les types de
données perdues ou volées lors d’une violation.

150 $
Les données personnelles des clients représentent
le type d’enregistrement le plus fréquemment
Coût moyen par enregistrement compromis et le plus coûteux dans les violations de
contenant des données données étudiées.
personnelles des clients
Pas moins de 80 % des organisations ayant subi une violation de la
confidentialité des données déclarent que les données personnelles
des clients ont été compromises pendant l’incident, bien plus que tout
autre type d’enregistrement. Alors que le coût moyen par enregistrement
perdu ou volé est de 146 $ pour toutes les violations de données, les
enregistrements contenant des données personnelles des clients coûtent
150 $ par enregistrement compromis aux organisations.

Le coût par enregistrement pour les données personnelles des clients


est passé à 175 $ dans le cas des violations de données causées par une
attaque malveillante. Les données clients anonymisées sont impliquées
dans 24 % des violations examinées dans l’étude, à un coût moyen de
143 $ par enregistrement, qui passe à 171 $ par enregistrement dans
le cas des violations causées par des attaques malveillantes.

8
Synthèse

+137 000 $ Les participants s’attendent à ce que les initiatives


Impact du télétravail sur le coût de télétravail mises en œuvre en raison de la crise
total moyen du COVID-19 augmentent les coûts liés à une
violation de la confidentialité des données ainsi que
les temps de réponse aux incidents.

Parmi les organisations qui ont dû recourir au télétravail en raison de la


pandémie de COVID-19, 70 % déclarent que le télétravail augmenterait
le coût d’une violation de la confidentialité des données, et 76 % qu’il
augmenterait le délai nécessaire pour identifier et confiner une violation
potentielle de la confidentialité des données. Le fait de recourir à une
main-d’œuvre à distance augmente de près de 137 000 $ le coût total
moyen d’une violation de la confidentialité de données (3,86 millions de
dollars), pour un coût total moyen ajusté de 4 millions de dollars.

Les données d’identification volées ou


19 % compromises sont à l’origine des attaques
malveillantes les plus coûteuses.
Part des données
d’identification
compromises lors Une organisation sur cinq (19 %) ayant subi une violation de la
d’attaques
malveillantes confidentialité des données due à une attaque malveillante a été infiltrée
via le vol ou la compromission de données d’identification, augmentant
ainsi le coût total moyen d’une violation pour ces organisations de près
d’1 million de dollars, pour passer à 4,77 millions de dollars. Dans
l’ensemble, les attaques malveillantes sont citées comme la cause
première la plus fréquente (52 % des violations examinées dans l’étude)
par rapport aux erreurs humaines (23 %) ou aux incidents système (25%),
pour un coût total moyen de 4,27 millions de dollars.

+14 %
Des Clouds mal configurés sont à l’origine de la
plupart des violations de données.
Impact d’une mauvaise configuration Parallèlement aux données d’identification volées ou compromises, les
du Cloud sur le coût total moyen serveurs Cloud mal configurés représentent le vecteur de menace initial
le plus fréquent dans le cas des violations causées par des attaques
malveillantes, soit 19 %. Les violations dues à une mauvaise configuration
du Cloud ont entraîné une augmentation de plus d’un demi-million de dollars
du coût moyen d’une violation, qui est passé à 4,41 millions de dollars.

9
Synthèse

1,52 M$ La perte d’activité reste le principal facteur de coût


Coût total moyen de la perte d’activité contributif.

Les coûts liés à la perte d’activité représentent près de 40 % du coût total


moyen d’une violation de la confidentialité des données, passant de
1,42 million de dollars dans l’étude de 2019 à 1,52 million de dollars dans
l’étude de 2020. Les coûts liés à la perte d’activité incluent l’augmentation
du taux de rotation des clients, la perte de revenus due aux temps
d’indisponibilité du système, et le coût croissant associé à la conclusion
de nouvelles transactions en raison de la baisse de la réputation.

3,58 M$ L’impact de l’automatisation de la sécurité sur les coûts


liés à une violation de la confidentialité des données a
Économies moyennes réalisées
grâce à un déploiement complet de
augmenté au cours des trois dernières années.
l’automatisation de la sécurité par
La part des organisations ayant complètement déployé l’automatisation de
rapport à l’absence d’automatisation
la sécurité, c’est-à-dire utilisant des plateformes d’intelligence artificielle
de la sécurité
et une orchestration automatisée des violations, est passée de seulement
15 % en 2018 à 21 % dans l’étude de 2020.

Parallèlement, l’efficacité de l’automatisation de la sécurité pour réduire le


coût moyen d’une violation de la confidentialité des données continue de
croître. Les organisations qui n’ont pas déployé l’automatisation de la sécurité
enregistrent un coût total moyen de 6,03 millions de dollars, soit plus du
double du coût moyen d’une violation de données (2,45 millions de dollars)
pour les organisations qui ont complètement déployé l’automatisation de la
sécurité. Les économies de 3,58 millions de dollars en moyenne réalisées par
les organisations ayant complètement déployé l’automatisation de la sécurité
par rapport à celles qui ne l’ont pas du tout déployée sont supérieures de
1,55 million de dollars par rapport à l’étude de 2018.

x100
Les coûts liés à une méga-violation ont bondi de
plusieurs millions.
Coefficient de coût de > 50 millions
Les organisations qui se sont vu compromettre plus d’un million de leurs
d’enregistrements par rapport à une
enregistrements continuent d’enregistrer des coûts plusieurs fois supérieurs
violation moyenne
à la moyenne globale, dans un échantillon de méga-violations de données.
Les violations de 1 à 10 millions d’enregistrements coûtent en moyenne
50 millions de dollars, soit plus de 25 fois le coût moyen de 3,86 millions de
dollars pour les violations de moins de 100 000 enregistrements. Dans le
cas des violations de plus de 50 millions d’enregistrements, le coût moyen
est de 392 millions de dollars, soit plus de 100 fois la moyenne.

10
Synthèse

Les violations causées par des pirates d’État-nation

53 % sont les plus coûteuses.


Part des attaques Si la majorité des attaques malveillantes ont été perpétrées par des
malveillantes cybercriminels motivés par des raisons financières, celles causées par
à but
lucratif des pirates d’État-nation sont les plus coûteuses. Dans l’étude de 2020,
53 % des attaques malveillantes seraient imputables à des cybercriminels
motivés par des raisons financières, 13 % à des pirates d’État-nation,
13 % à des hacktivistes, et 21 % à des pirates aux motivations inconnues.
Cependant, les violations présumées organisées par des États coûtent en
moyenne 4,43 millions de dollars, contre 4,23 millions de dollars pour les
violations à but lucratif.

+292 000 $ La complexité de la sécurité et la migration vers le


Cloud coûtent le plus cher aux organisations.
Impact de la complexité des systèmes
de sécurité sur le coût total moyen La complexité des systèmes de sécurité représente le facteur de coût le
plus élevé sur les 25 analysés, augmentant ainsi le coût total moyen d’une
violation de 292 000 $, pour un coût total moyen ajusté de 4,15 millions de
dollars. Une migration étendue vers le Cloud au moment d’une violation de
données augmente le coût moyen de cette dernière de plus de 267 000 $,
pour un coût moyen ajusté de 4,13 millions de dollars.

+96 jours Le délai moyen nécessaire pour identifier et confiner


une violation varie considérablement en fonction du
Durée de vie d’une violation de la
confidentialité des données dans
secteur d’activité, de la zone géographique et de la
le secteur de la santé par rapport maturité de l’organisation en matière de sécurité.
à celui de la finance
En moyenne, les organisations visées dans l’étude de 2020 ont eu besoin
de 207 jours pour identifier et 73 jours pour confiner une violation en 2019,
soit une « durée de vie » moyenne de 280 jours.

Alors que la durée de vie d’une violation est en moyenne de 329 jours dans
le secteur de la santé, elle est plus courte de 96 jours dans le secteur de
la finance (233 jours). Les organisations qui ont complètement déployé
l’automatisation de la sécurité ont pu réduire la durée de vie d’une violation de
74 jours par rapport aux organisations qui n’ont pas du tout déployé
l’automatisation de la sécurité, faisant passer la durée de vie de 308 à 234 jours.

11
Synthèse

2 M$ Une bonne préparation en matière de réponse aux


Économies moyennes réalisées incidents (IR) permet aux organisations de réaliser
grâce aux équipes et aux tests de le plus d’économies.
réponse aux incidents par rapport
à l’absence d’équipes et de tests Le coût total moyen d’une violation de la confidentialité des données pour
de réponse aux incidents les organisations disposant d’une équipe IR et ayant également testé un
plan de réponse aux incidents au travers d’exercices théoriques ou de
simulations est de 3,29 millions de dollars, contre 5,29 millions de dollars
pour les organisations sans équipe IR et n’ayant effectué aucun test d’un
plan de réponse aux incidents – soit une différence de 2 millions de dollars.
La différence de coût entre ces groupes était de 1,23 million de dollars
dans l’étude de 2019.

12 sur 16 Les différences régionales et sectorielles ont


considérablement évolué par rapport à 2019.
Pays enregistrant un coût total
moyen plus élevé depuis l’étude Les États-Unis continuent d’enregistrer les coûts les plus élevés au monde en
de 2019 termes de violation de données, avec 8,64 millions de dollars en moyenne,
suivis par le Moyen-Orient, avec 6,52 millions de dollars. Le coût total moyen
a augmenté dans 12 des 16 pays ou régions étudiés en 2019 et 2020, la plus
forte augmentation ayant été enregistrée en Scandinavie (12,8 %).

Pour la dixième année consécutive, le secteur de la santé continue d’enregistrer


les coûts moyens les plus élevés en matière de violation de données, avec
7,13 millions de dollars – soit une augmentation de 10,5 % par rapport
à l’étude de 2019. De la même manière, le secteur de l’énergie a connu
une augmentation de 14,1 % par rapport à 2019, pour une moyenne de
6,39 millions de dollars dans l’étude de 2020. Dans l’ensemble, 13 des
17 secteurs ont vu leur coût total moyen diminuer d’une année à l’autre,
les baisses les plus significatives ayant été enregistrées dans les médias,
l’éducation, le public et l’hôtellerie.

12
Résultats complets

Dans cette section, nous fournissons les résultats


détaillés de nos recherches. Les sujets sont
présentés dans l’ordre suivant :

1. Conclusions globales et résultats marquants

2. Causes premières d’une violation de la confidentialité des données

3. Facteurs qui influent sur le coût d’une violation de la confidentialité


des données

4. Tendances et efficacité en matière d’automatisation de la sécurité

5. Délai nécessaire pour identifier et confiner une violation de la


confidentialité des données

6. Coûts à long terme d’une violation de la confidentialité des données

7. Impacts potentiels du COVID-19

8. Coût d’une méga-violation

13
Résultats complets

Conclusions globales et résultats marquants

Le Rapport sur le coût d’une violation de la confidentialité


des données est un rapport international qui combine les
résultats de 524 organisations dans 17 pays et régions
et 17 secteurs pour fournir des moyennes à l’échelle
mondiale. Cependant, dans certains cas, le rapport
décompose les résultats par pays/région ou secteur à
des fins de comparaison. Bien que les échantillons dans
quelques pays/régions et secteurs soient assez petits, les
organisations de l’étude ont été sélectionnées dans un
souci de représentativité.

Résultats clés

7,13 M$ 80 % 5,52 M$
Le coût moyen d’une violation de Part des violations qui concernaient Coût total moyen d’une violation
la confidentialité des données des enregistrements contenant des dans les organisations de plus
dans le secteur de la santé, soit données personnelles des clients, de 25 000 employés, contre
une augmentation de 10 % par à un coût moyen de 150 $ par 2,64 millions de dollars pour
rapport à l’étude de 2019 enregistrement les organisations de moins de
500 employés

14
Résultats complets

Figure 1

L’étude globale en un coup d’œil

Pays/région Échantillon 2020 Pourcentage Devise Années d’étude


de l’échantillon

États-Unis 63 12 % USD 15

Inde 47 9% INR 9

Royaume-Uni 44 8% GBP 13

Allemagne 37 7% Euro 12

France 36 7% Euro 7

Brésil 35 7% BRL 9

Japon 33 6% Yen 11

Moyen-Orient* 29 6% Riyal 7

Canada 26 5% Dollar CA 6

Corée du Sud 24 5% Won (KRW) 3

ASEAN# 23 4% Dollar de Singapour 2

Australie 23 4% Dollar AU 11

Scandinavie+ 23 4% Krone 2

Italie 21 4% Euro 9

Amérique latine** 21 4% Peso 1

Turquie 20 4% Livre turque 3

Afrique du Sud 19 4% Dollar SA 5

Total 524

L’étude de 2020 a examiné les violations dans des


organisations issues de 17 pays ou échantillons régionaux.

Ces pays et régions incluent les États-Unis, l’Inde, le Royaume-Uni,


l’Allemagne, le Brésil, le Japon, la France, le Moyen-Orient, le Canada,
l’Italie, la Corée du Sud, l’Australie, la Turquie, la région ASEAN, l’Afrique
du Sud, la Scandinavie et, pour la première fois, l’Amérique latine
(Mexique, Argentine, Chili et Colombie). La Figure 1 illustre la taille de
l’échantillon, la devise de chaque pays/région et le nombre d’années
pendant lesquelles le pays / la région a été inclus(e) dans la recherche.

* Le Moyen-Orient représente un groupe d’organisations en Arabie saoudite et aux Émirats arabes unis
# La région ASEAN représente un groupe d’organisations à Singapour, en Indonésie, aux Philippines, en Malaisie, en Thaïlande et au Vietnam
+ La Scandinavie représente un groupe d’organisations au Danemark, en Suède, en Norvège et en Finlande
** L’Amérique latine représente un groupe d’organisations au Mexique, en Argentine, au Chili et en Colombie

15
Résultats complets

Figure 2

Coût total moyen d’une violation de la confidentialité des données


Mesuré en millions de dollars US

4,60 M$

4,40 M$

4,20 M$

4,00 M$
4,00 M$ 3,92 M$
3,86 M$ 3,86 M$
3,79 M$
3,80 M$

3,62 M$

3,60 M$ 3,50 M$

3,40 M$

3,20 M$

3,00 M$

2,80 M$

2,60 M$

2,40 M$
2014 2015 2016 2017 2018 2019 2020

Le coût total moyen d’une violation de la confidentialité


des données a augmenté de 10 % depuis 2014.

La Figure 2 montre l’évolution du coût total moyen global d’une violation


de la confidentialité des données sur une période de 7 ans. Dans l’étude
de 2020, le coût total moyen consolidé est de 3,86 millions de dollars,
soit une légère baisse par rapport aux 3,92 millions de 2019. La moyenne
pondérée sur 7 ans est de 3,79 millions de dollars.

16
Résultats complets

Figure 3

Coût moyen par enregistrement d’une violation de la confidentialité


des données
Mesuré en dollars US

180 $

170 $

160 $ 158 $

154 $

150 $
150 $ 148 $
146 $
145 $

141 $

140 $

130 $

120 $
2014 2015 2016 2017 2018 2019 2020

Le coût par enregistrement d’une violation a légèrement


diminué et s’élève à 146 $.

La Figure 3 montre l’évolution du coût moyen par enregistrement compromis


d’une violation au cours des 7 dernières années. La moyenne pondérée sur
7 ans est de 149 $ par enregistrement.

17
Résultats complets

Figure 4

Types d’enregistrements compromis


Pourcentage de violations impliquant des données dans chaque catégorie

Données personnelles
des clients 80 %

Propriété intellectuelle 32 %

Données clients anonymisées 24 %

Autres données d’entreprise 23 %

Données personnelles
21 %
des employés

0% 10 % 20 % 30 % 40 % 50 % 60 % 70 % 80 % 90 %

Les données personnelles des clients constituent le type de


données le plus souvent perdues ou volées lors d’une violation.

La Figure 4 montre que 80 % des violations concernent des données


personnelles des clients. La propriété intellectuelle est compromise dans
32 % des violations, et les données clients anonymisées sont compromises
dans 24 % des violations.

18
Résultats complets

Figure 5

Coût moyen par enregistrement par type de données compromises


Mesuré en dollars US

Données personnelles
des clients 150 $

Autres données d’entreprise 149 $

Propriété intellectuelle 147 $

Coût moyen
146 $
par enregistrement

Données clients
143 $
anonymisées

Données personnelles
141 $
des employés

130 $ 135 $ 140 $ 145 $ 150 $ 155 $

Parmi tous les types de données pouvant être


compromises lors d’une violation, les données
personnelles des clients sont les plus coûteuses.

La perte ou le vol de données personnelles des clients coûte en moyenne


150 $ par enregistrement, comme le montre la Figure 5. Ce coût est
de 147 $ par enregistrement pour la propriété intellectuelle, de 143 $ par
enregistrement pour les données anonymisées des clients (non personnelles)
et de 141 $ par enregistrement pour les données des employés.

19
Résultats complets

Figure 6

Coût moyen par enregistrement par type de données compromises


lors d’une attaque malveillante
Mesuré en dollars US

Données personnelles des clients 175 $

Données clients anonymisées 171 $

Données personnelles des employés 163 $

Coût moyen par enregistrement d’une violation


162 $
de la confidentialité des données

Propriété intellectuelle 151 $

Autres données d’entreprise 150 $

100 $ 110 $ 120 $ 130 $ 140 $ 150 $ 160 $ 170 $ 180 $

Le coût par enregistrement est plus élevé lors des


violations résultant d’une attaque malveillante.

Comme le montre la Figure 6, le coût par enregistrement des données


personnelles des clients est de 175 $ lors d’une attaque malveillante, soit
près de 17 % de plus que le coût moyen global par enregistrement des données
personnelles compromises (150 $) tous types de violations confondus.

20
Résultats complets

Figure 7

Coût total moyen d’une violation de la confidentialité des données


ventilé en quatre catégories
Mesuré en millions de dollars US

Détection et
escalade
Detection and escalation
$1.1 $1
$1.11
1,11
28.8 %
28,8
Coûts liés à la
perte d’activité
Lost business cost
$1.52
1,52 $
39.4 %
39,4 %

Notification
$0.24
0,24 $
6.2 %
6,2 %

Réponseresponse
Ex-post a posteriori
$0.99$
0,99
25.6 %
25,6 %

Les coûts liés à la perte d’activité représentent la majeure


partie du coût moyen d’une violation.

La Figure 7 présente les quatre segments de coût en dollars US et en


pourcentage du coût total d’une violation. Le coût moyen de la perte
d’activité s’élève à 1,52 million de dollars, ce qui représente 39 % du coût
total. Le coût le moins élevé est celui de la notification de la violation,
qui s’élève à 240 000 $, ce qui représente 6 % du coût total.

21
Résultats complets

Figure 8

Tendance du coût moyen d’une violation de la confidentialité des


données pour quatre catégories
Mesuré en millions de dollars US

4,50 M$

4,00 M$
1,09 M$
1,22 M$
1,23 M$ 1,11 M$
0,98 M$

3,50 M$ 0,99 M$

3,00 M$
0,18 M$
0,17 M$
1,10 M$ 0,21 M$ 0,24 M$
1,07 M$ 0,19 M$ 0,16 M$
2,50 M$
1,02 M$ 1,07 M$ 0,99 M$
0,93 M$

2,00 M$

1,50 M$ 1,57 M$
1,63 M$
1,51 M$ 1,52 M$
1,45 M$ 1,42 M$

1,00 M$

0,50 M$

0$
2015 2016 2017 2018 2019 2020

Coûts liés à la Réponse a posteriori Notification Détection et escalade


perte d’activité

Les coûts liés à la perte d’activité sont en légère


augmentation depuis l’année dernière.

La Figure 8 montre les tendances sur les 6 dernières années en ce qui


concerne les coûts liés à la perte d’activité, à la réponse a posteriori, à la
notification, ainsi qu’à la détection et à l’escalade. Le schéma d’évolution
met en évidence la cohérence de ces coûts. La notification continue de
représenter le coût le moins élevé, et la perte d’activité, le coût le plus élevé.

22
Résultats complets

Figure 9

Coût total moyen d’une violation de la confidentialité des données


par pays ou région
Mesuré en millions de dollars US

États-Unis 8,64 M$

Moyen-Orient 6,52 M$

Canada 4,50 M$

Allemagne 4,45 M$

Japon
4,19 M$
France
4,01 M$
Royaume-Uni
3,90 M$
Moyenne mondiale
3,86 M$
Italie
3,19 M$
Corée du Sud
3,12 M$
ASEAN
2,71 M$
Scandinavie
2,51 M$
Australie
2,15 M$
Afrique du Sud

Inde 2,14 M$

Turquie 2,00 M$

Amérique latine 1,77 M$

Brésil 1,68 M$

1,12 M$

0 M$ 2,00 M$ 4,00 M$ 6,00 M$ 8,00 M$ 10,00 M$

Le coût total moyen d’une violation de la confidentialité


des données varie en fonction du pays.

La Figure 9 montre le coût total moyen d’une violation par pays. Les
organisations des États-Unis présentent le coût total moyen le plus
élevé, avec 8,64 millions de dollars, suivies par celles du Moyen-Orient,
avec 6,52 millions de dollars. En revanche, les organisations d’Amérique
latine et du Brésil présentent le coût total moyen le moins élevé, avec
respectivement 1,68 million de dollars et 1,12 million de dollars.

23
Résultats complets

Figure 10

Pourcentage d’évolution du coût total moyen par pays ou région entre


2019 et 2020
Calculé à l’aide de la devise locale

Scandinavie 12,8 %

Brésil 9,8 %%
10,5

Turquie 9,5 %%
10,3

Australie 9,4 %
9,8

Japon 9 %%
9,5

Inde 9,1 %
9,4

Moyen-Orient 9,1 %
9,4

ASEAN 7,8 %
8,2

Corée du Sud 6,7 %


7,0

Canada 6,5 %
6,7

États-Unis 5,3 %
5,5

Royaume-Uni 4,3 %
4,4

Allemagne -4,8 %
-4,7

Italie -4,9
-5 %%

France -5,3 %
-5,2

Afrique du Sud -7,4 %


-7,1

-10 % -5 % 0% 5% 10 % 15 %

Le coût total moyen d’une violation de la confidentialité


des données a augmenté dans 12 des 16 pays étudiés.

Comme le montre la Figure 10, c’est en Scandinavie que le coût total


d’une violation a le plus augmenté, et en France et en Afrique du Sud
qu’il a le plus diminué, entre nos études de 2019 et de 2020.

24
Résultats complets

Figure 11

Coût total moyen d’une violation de la confidentialité des données


par secteur d’activité
Mesuré en millions de dollars US

Santé 7,13 M$

Énergie 6,39 M$

Finance 5,85 M$

Pharmaceutique 5,06 M$

Technologie 5,04 M$

Industrie 4,99 M$

Services 4,23 M$

Divertissement 4,08 M$

Éducation 3,90 M$

Moyenne mondiale 3,86 M$

Transports 3,58 M$

Communication 3,01 M$

Consommation 2,59 M$

Distribution 2,01 M$

Hôtellerie 1,72 M$

Médias 1,65 M$

Recherche 1,53 M$

Public 1,08 M$

0$ 2,00 M$ 4,00 M$ 6,00 M$ 8,00 M$

Les entreprises soumises à des exigences réglementaires


plus strictes présentent des coûts moyens plus élevés.

Comme le montre la Figure 11, les secteurs de la santé, de l’énergie, de la


finance et des produits pharmaceutiques présentent un coût total moyen
par violation nettement plus élevé que les secteurs moins réglementés,
tels que l’hôtellerie, les médias et la recherche. Les organisations du
secteur public présentent généralement le coût par violation le moins
élevé de cette étude, car il est peu probable qu’elles perdent beaucoup
de clients suite à une violation.

25
Résultats complets

Figure 12

Pourcentage d’évolution du coût total moyen par secteur d’activité


entre 2019 et 2020

Énergie 13,1 %
14,1

Santé 10 %%
10,5

Distribution 8,8 %
9,2

Consommation 0,1
0 %%

Finance -0,1 %
-0,2

Technologie -0,2 %

Pharmaceutique -2,8 %
-2,7

Industrie -4,1 %
-4,0

Transports -5,1 %
-5,0

Divertissement -5,8 %
-5,6

Recherche -7,9 %
-7,3

Services -8,8 %
-8,4

Communication -13,8 %
-12,8

Hôtellerie -14,8 %
-13,6

Public -17,7 %
-16,3

Éducation -20,2 %
-18,2

Médias -30,5 %
-26,3

-40 % -20 % 0% 20 %

C’est dans les secteurs de l’énergie, de la santé et


de la distribution que le coût d’une violation de la
confidentialité des données a le plus augmenté.

La Figure 12 révèle qu’entre l’étude de 2019 et celle de 2020, le coût


d’une violation n’a augmenté que dans 3 des 17 secteurs d’activité étudiés.
C’est dans les secteurs de l’énergie, de la santé et de la distribution que
le coût total moyen d’une violation a le plus augmenté, et dans le secteur
public, celui de l’éducation et celui des médias qu’il a le plus diminué.

26
Résultats complets

Figure 13

Tendance du coût total moyen d’une violation de la confidentialité


des données dans 8 secteurs d’activité
Mesuré en millions de dollars US

11,00 M$

10,00 M$

9,00 M$

8,00 M$

7,00 M$

6,00 M$

5,00 M$

4,00 M$

3,00 M$

2,00 M$

1,00 M$
2015 2016 2017 2018 2019 2020

Santé Énergie Finance Industrie Transports Distribution Hôtellerie Public

Les secteurs de la santé et de la finance ont toujours


présenté les coûts par violation les plus élevés.

La Figure 13 présente, pour chacun des 8 secteurs d’activité, un diagramme


linéaire de l’évolution du coût total moyen d’une violation sur les 6 dernières
années. C’est toujours dans le secteur de la santé que ce coût a été le plus
élevé, et dans le secteur public qu’il a été le moins élevé.

27
Résultats complets

Figure 14

Coût total moyen d’une violation de la confidentialité des données


par taille d’organisation
Mesuré en millions de dollars US

6,00 M$

5,11 M$
5,00 M$
4,72 M$
4,61 M$
4,41 M$ 4,35 M$
4,25 M$

4,00 M$
3,78 M$
3,63 M$

3,00 M$
2,74 M$
2,65 M$
2,53 M$
2,35 M$

2,00 M$

1,00 M$

0$
Moins de 500 500 à 1 000 1 001 à 5 000 5 001 à 10 000 10 001 à 25 000 Plus de 25 000

2019 2020

Le coût total moyen d’une violation de la confidentialité des


données a augmenté pour les organisations de taille moyenne.

La Figure 14 montre qu’entre nos études de 2019 et de 2020, le coût total moyen
d’une violation de la confidentialité des données a diminué pour les petites
organisations (1 000 employés au maximum) et pour les grandes organisations
(plus de 25 000 employés). Dans les organisations de plus de 25 000 employés,
le coût total moyen est passé de 5,11 millions de dollars en 2019 à 4,25 millions
de dollars en 2020, ce qui représente une baisse de 16,8 %. En revanche, pour les
organisations de taille moyenne, le coût total moyen d’une violation a augmenté.
Pour les organisations employant de 5 001 à 10 000 employés, ce coût total
moyen est passé de 4,41 millions de dollars en 2019 à 4,72 millions de dollars
en 2020, ce qui représente une augmentation de 7 %. En proportion, les petites
organisations présentent un coût moyen par employé plus élevé.

28
Résultats complets

Causes premières d’une violation de la confidentialité des données

Depuis plusieurs années, cette étude interroge les


participants sur la cause des violations de données
subies par leur organisation. Au cours des années
précédentes, ces causes premières étaient regroupées
en trois catégories : les incidents système, y compris les
défaillances au niveau des processus informatiques et
métier ; les erreurs humaines, y compris les employés ou
sous-traitants négligents qui causent involontairement
une violation de données ; et les attaques malveillantes,
qui peuvent être causées par des pirates ou des initiés.

L’étude de cette année porte toujours sur les violations dans ces trois catégories.
Cependant, dans une analyse plus approfondie, nous avons demandé aux
participants de fournir des informations plus détaillées sur la cause des attaques
malveillantes, y compris le vecteur de menace initial et le type d’attaquant. Dans
cette section, nous rapportons les résultats de ces deux analyses.

Résultats clés

52 % 19 % 4,43 M$
Part des violations dues à des Part des attaques malveillantes Coût moyen des violations
attaques malveillantes, à un coût causées par des données causées par des pirates
moyen de 4,27 millions de dollars d’identification compromises (19 %) d’État-nation, responsables de
et une mauvaise configuration du 13 % des attaques malveillantes
Cloud (19 %)

29
Résultats complets

Figure 15

Répartition des causes premières des violations de la confidentialité


des données en trois catégories

Erreur humaine
Human error
23 %
23 %

Attaque
malveillante
Malicious attack
52 %
52 %

Incidentglitch
System système
25 %
25 %

Les attaques malveillantes sont à l’origine de la plupart


des violations.

La Figure 15 résume les trois principales catégories de causes premières


des violations. Pas moins de 52 % des incidents sont causés par une
attaque malveillante ; 25 % par un incident système ; et 23 % par une
erreur humaine.

30
Résultats complets

Figure 16

Coût total moyen pour 3 causes premières des violations de la


confidentialité des données
Mesuré en millions de dollars US

Attaque malveillante 4,27 M$

Incident système 3,38 M$

Erreur humaine 3,33 M$

0$ 1,00 M$ 2,00 M$ 3,00 M$ 4,00 M$ 5,00 M$

Les attaques malveillantes constituent la cause première


la plus coûteuse.

L’étude de 2020 met en évidence que les violations dues à une attaque
malveillante coûtent en moyenne 4,27 millions de dollars, soit près d’un
million de dollars de plus que celles causées par un incident système ou
une erreur humaine, comme le montre la Figure 16.

31
Résultats complets

Figure 17

Tendance du coût total moyen d’une violation de la confidentialité des


données en fonction de sa cause première
Mesuré en millions de dollars US

4,50 M$ 4,42 M$
4,27 M$

4,00 M$ 3,82 M$ 3,85 M$


3,75 M$

3,51 M$ 3,54 M$

3,38 M$ 3,33 M$
3,17 M$ 3,21 M$
3,03 M$ 3,15 M$
3,09 M$
3,03 M$
3,00 M$

2,00 M$

1,00 M$

0$
Attaque malveillante Incident système Erreur humaine

2016 2017 2018 2019 2020

Depuis 5 ans, les attaques malveillantes sont les plus


coûteuses.

La Figure 17 montre le coût total moyen sur les 5 dernières années pour
les 3 causes premières des violations de la confidentialité des données.
Depuis l’étude de 2016, le schéma des causes premières est demeuré
relativement stable, avec une légère baisse des coûts entre 2019 et 2020.
Le coût total moyen d’une violation due à une attaque malveillante a
augmenté de près de 12 % depuis l’étude de 2016.

32
Résultats complets

Figure 18

Répartition des causes premières des violations de la confidentialité


des données par pays ou région

Allemagne 59 % 24 % 17 %

Australie 57 % 24 % 19 %

57 % 22 % 22 %
France
55 % 24 % 21 %
États-Unis
54 % 22 % 24 %
Inde
53 % 26 % 21 %
Royaume-Uni
52 % 23 % 25 %
Amérique latine
52 % 26 % 22 %
Italie
52 % 19 % 29 %
Japon
51 % 26 % 23 %
Turquie
50 % 25 % 25 %

Corée du Sud
50 % 29 % 21 %

Scandinavie
48 % 30 % 22 %

ASEAN 48 % 22 % 30 %

Afrique du Sud 48 % 26 % 26 %

Brésil 47 % 28 % 25 %

Canada 42 % 35 % 23 %

0% 10 % 20 % 30 % 40 % 50 % 60 % 70 % 80 % 90 % 100 %

Attaque Incident Erreur humaine


malveillante système

Les causes premières des violations varient selon la zone


géographique.

Le Moyen-Orient, l’Allemagne et l’Australie présentent le pourcentage le plus


élevé de violations dues à des attaques malveillantes, tandis que l’Afrique du
Sud, le Brésil et le Canada présentent le pourcentage le moins élevé, comme
le montre la Figure 18. Les violations dues à des incidents système sont plus
nombreuses au Canada. La région ASEAN et l’Italie présentent le pourcentage
le plus élevé de violations dues à une erreur humaine.

33
Résultats complets

Figure 19

Répartition des causes premières des violations de la confidentialité


des données par secteur d’activité

Technologie 59 % 24 % 17 %

Transports 58 % 29 % 13 %

Distribution 58 % 25 % 17 %

Finance 56 % 21 % 23 %

Médias 55 % 24 % 21 %

Énergie 55 % 23 % 22 %

Services 54 % 26 % 20 %

Industrie 54 % 23 % 23 %

Pharmaceutique 53 % 23 % 24 %

Hôtellerie 53 % 27 % 20 %

Communication 51 % 23 % 26 %

Santé 50 % 23 % 27 %

Éducation 48 % 26 % 26 %

Consommation 45 % 27 % 28 %

Recherche 44 % 33 % 23 %

Public 43 % 29 % 28 %

Divertissement 43 % 23 % 34 %

0% 10 % 20 % 30 % 40 % 50 % 60 % 70 % 80 % 90 % 100 %

Attaque Incident Erreur humaine


malveillante système

Les causes premières des violations de la confidentialité


des données varient selon le secteur d’activité.

Comme le montre la Figure 19, les secteurs de la technologie, des transports,


de la distribution et de la finance présentent le pourcentage le plus élevé
d’attaques malveillantes. Le secteur du divertissement, le secteur public et
le secteur des biens de consommation présentent le pourcentage le plus
élevé de violations dues à une erreur humaine. C’est dans le secteur de la
recherche, le secteur public et le secteur des transports que les incidents
système sont le plus souvent à l’origine d’une violation.

34
Résultats complets

Figure 20

Tendance concernant les violations de la confidentialité des données


dues à une attaque malveillante
Pourcentage de toutes les violations

70 %

65 %

60 %

55 %

52 %
51 %

50 %
48 % 48 %
47 %

45 %
45 %

42 %

40 %

35 %

30 %
2014 2015 2016 2017 2018 2019 2020

La part des violations dues à des attaques malveillantes


a connu une augmentation régulière.

La Figure 20 montre que la part des violations dues à des attaques


malveillantes est passée de 42 % dans le rapport de 2014 à 52 % dans le
rapport de 2020. Cette augmentation de 10 % représente une augmentation
de près de 24 % (taux de croissance) de la part des violations dues à des
attaques malveillantes.

35
Résultats complets

Figure 21

Répartition des causes premières des violations malveillantes de la


confidentialité des données par vecteur de menace
Pourcentage des violations de données causées par une attaque malveillante

Ingénierie
Social engineering
sociale Autre
Other
3
3%% 1
Messagerie
Business email
d’entreprise
compromise
compromise 1%%
5
5%%
Données d’identification
Compromised credentialscompromises
19
19 %
%
Autre problème de
configuration ou
6 % système
erreur
6%

Initié malveillant
Malicious insider
7%
7%

Sécurité physique
compromise Mauvaise configuration
Cloud
du misconfiguration
Cloud
10
10 % 19
% 19 %
%

Phishing
14 %
14 %

Vulnérabilité in
Vulnerability d’un
third-party
logiciel tiers
software
16
16 %
%

La majorité des attaques malveillantes sont dues à des


données d’identification compromises, à une mauvaise
configuration du Cloud ou une vulnérabilité d’un logiciel tiers.

Les données d’identification volées ou compromises et les Clouds mal configurés


constituent les principaux vecteurs de menace initiaux, chacun étant responsable
de 19 % des attaques malveillantes. La vulnérabilité d’un logiciel tiers est le
vecteur de menace initial dans 16 % des attaques malveillantes, comme le
montre la Figure 21.

36
Résultats complets

Figure 22

Fréquence et coût moyen des violations de la confidentialité des


données dues à une attaque malveillante par vecteur de cause première
5,00 M$
Données
d’identification
compromises
4,75 M$

Vulnérabilité d’un
logiciel tiers
Mauvaise
4,50 M$ configuration
Ingénierie sociale Initié malveillant Sécurité physique du Cloud
(employé) compromise Phishing
Coût total

4,25 M$

4,00 M$
Messagerie Autre problème de
d’entreprise configuration ou
compromise erreur système

3,75 M$

3,50 M$
0% 2,5 % 5% 7,5 % 10 % 12,5 % 15 % 17,5 % 20 %

Pourcentage d’attaques malveillantes

Les données d’identification compromises constituent


le vecteur de menace le plus coûteux et le plus fréquent.

La Figure 22 montre 9 vecteurs de menace initiaux d’attaques malveillantes


dans un nuage de points, l’axe horizontal représentant le pourcentage de
violations, et l’axe vertical représentant le coût total moyen. Le vecteur de
menace correspondant à des données d’identification compromises est
situé le plus en haut à droite du graphique, ce qui traduit la puissance de
sa combinaison de fréquence et de coût dans les attaques malveillantes.

37
Résultats complets

Figure 23

Répartition des attaques malveillantes par type d’acteurs de la menace

Inconnu
Unknown
21 %
21 %

Motivé par des


raisons financières
Financially motivated
Hacktiviste
Hacktivist 53 %
53 %
13 %
13 %

Pirate d’État-nation
Nation state
13
13 %%

Les pirates motivés par des raisons financières sont à


l’origine de la majorité des violations de la confidentialité
des données dues à une attaque malveillante.

Comme le montre la Figure 23, la majorité (53 %) des attaques malveillantes


sont le fait de pirates motivés par des raisons financières. Pas moins de 13 %
des attaques malveillantes sont dues à des pirates d’État-nation ; 13 % à des
hacktivistes ; et 21 % à des pirates aux motivations inconnues.

38
Résultats complets

Figure 24

Coût moyen d’une violation de la confidentialité des données due


à une attaque malveillante par type d’acteurs de la menace
Mesuré en millions de dollars US

Pirate d’État-nation 4,43 M$

Inconnu 4,29 M$

Hacktiviste 4,28 M$

Attaque
4,27 M$
malveillante moyenne

Motivé par des


raisons financières 4,23 M$

3,00 M$ 3,50 M$ 4,00 M$ 4,50 M$ 5,00 M$

Les pirates d’État-nation sont responsables des attaques


malveillantes les plus coûteuses.

La Figure 24 montre le coût d’une violation de la confidentialité des


données par type d’acteurs de la menace. Les attaques malveillantes
les plus coûteuses sont le fait de pirates d’État-nation, leur coût moyen
s’élevant à 4,43 millions de dollars. Les hacktivistes sont responsables
d’attaques malveillantes d’un coût moyen de 4,28 millions de dollars,
tandis que les violations dues à des cybercriminels motivés par l’argent
coûtent en moyenne 4,23 millions de dollars.

39
Résultats complets

Figure 25

Coût moyen d’une violation due à un rançongiciel ou à un logiciel


malveillant destructeur
Mesuré en millions de dollars US

Logiciel malveillant
4,52 M$
destructeur

Rançongiciel 4,44 M$

Attaque
4,27 M$
malveillante moyenne

3,00 M$ 3,50 M$ 4,00 M$ 4,50 M$ 5,00 M$

Les violations dues à un rançongiciel ou à un logiciel malveillant


destructeur sont plus coûteuses que celles dues à des
attaques malveillantes classiques.

Les attaques malveillantes détruisant les données (coût moyen de 4,52 millions
de dollars) et les attaques malveillantes par rançongiciel (coût moyen de
4,44 millions de dollars) sont plus coûteuses que la moyenne des attaques
malveillantes (4,27 millions de dollars) ou la moyenne des violations de la
confidentialité des données (3,86 millions de dollars), comme le montre la Figure 25.

40
Résultats complets

Facteurs qui influent sur le coût d’une violation de la confidentialité


des données

Cette section examine plus en détail une multitude de


facteurs qui influent sur le coût d’une violation de la
confidentialité des données, notamment les différents
types de technologies et de pratiques de sécurité, les
environnements informatiques et la participation de tiers.
L’étude de cette année inclut une analyse de 25 facteurs
de coût uniques qui ont eu une influence soit à la baisse
(réduction du coût total moyen d’une violation), soit à la
hausse (augmentation du coût total moyen d’une violation).

Plusieurs nouveaux facteurs figurent dans le rapport de 2020 : les tests Red
Team, les tests de vulnérabilité et les services managés de sécurité (qui
atténuent les facteurs de coût) ; ainsi que la pénurie de compétences en
sécurité et la main-d’œuvre à distance (qui amplifient les coûts).

Cette section examine également plus en détail trois domaines qui se sont
révélés avoir une influence à la baisse sur les coûts liés à une violation de la
confidentialité des données : le rôle du CISO, l’assurance cybersécurité et les
équipes de réponse aux incidents.

Résultats clés

291 870 $ 51 % 46 %
Augmentation du coût total moyen Part des organisations ayant souscrit Part des répondants ayant déclaré
d’une violation de la confidentialité un contrat d’assurance cybersécurité que le CISO est le premier
des données avec des systèmes et qui ont utilisé leurs indemnités responsable des violations
de sécurité complexes pour couvrir le coût des services de données
juridiques et de conseil

41
Résultats complets

Figure 26

Impact de 25 facteurs clés sur le coût total moyen d’une violation de la


confidentialité des données
Évolution en dollars US du coût total moyen de 3,86 millions de dollars

Tests de réponse aux incidents -295.267 $


Continuité des opérations -278.697 $

Formation de l’équipe IR -272.786 $


Plateforme d’IA -259.354 $
Tests Red Team -243.184 $
Formation des employés -238.019 $
Chiffrement étendu -237.176 $
Analyse de la sécurité -234.351 $
Partage des renseignements sur les menaces -202.874 $
Implication du conseil d’administration -199.677 $
Assurance cybersécurité -199.148 $
DevSecOps -191.618 $
Tests de vulnérabilité -172.817 $
Prévention de la perte de données -164.386 $
Nomination du CISO -144.940 $
Services managés de sécurité -78.054 $
Protection contre le vol d’identifiants -73.196 $
Main-d’œuvre à distance 136.974 $
Appareils perdus ou volés 192.455 $
Impact sur l’IoT/OT 206.958 $
Violation par un tiers 207.411 $
Défauts de conformité 255.626 $
Pénurie de compétences en sécurité 257.429 $
Migration vers le Cloud 267.469 $
Systèmes de sécurité complexes 291.870 $

-500 K$ -400 K$ -300 K$ -200 K$ -100 K$ 0 100 K$ 200 K$ 300 K$ 400 K$ 500 K$

Facteurs de réduction des coûts Facteurs d’augmentation des coûts

La complexité des systèmes de sécurité et les tests des


plans de réponse aux incidents sont les facteurs qui
influent le plus sur le coût total d’une violation.

La Figure 26 montre l’impact moyen de 25 facteurs sur le coût total moyen


d’une violation, qui s’élève à 3,86 millions de dollars. La complexité des
systèmes de sécurité, due au nombre de technologies impliquées et au
manque de savoir-faire interne, amplifie en moyenne le coût total moyen
d’une violation de 291 870 $. La migration vers le Cloud entraîne un coût
par violation supérieur à la moyenne, puisqu’elle augmente en moyenne
le coût moyen de 267 469 $.

Les facteurs qui réduisent le coût total moyen d’une violation de la


confidentialité des données incluent des tests étendus du plan de réponse
aux incidents (réduction de 295 267 $ en moyenne) et la gestion de la
continuité des opérations (réduction de 278 697 $ en moyenne).

42
Résultats complets

Figure 27

Types de coûts remboursés dans le cadre des contrats d’assurance


cybersécurité
Pourcentage de réponses, réponses multiples autorisées

Services juridiques et de conseil 51 %

Indemnisation des victimes 36 %

Amendes réglementaires 30 %

Technologie de reprise 29 %

Rançongiciel/extorsion 10 %

Autre 7%

0% 10 % 20 % 30 % 40 % 50 % 60 %

Les contrats d’assurance cybersécurité couvrent le plus souvent


le coût des services tiers et l’indemnisation des victimes.

Comme le montre la Figure 27, 51 % des organisations ayant souscrit un contrat


d’assurance cybersécurité ont utilisé leurs indemnités pour couvrir le coût des services
juridiques et de conseil fournis par des tiers. Le coût de l’indemnisation des victimes
était couvert par l’assurance cybersécurité pour 36 % des organisations. Seulement
10 % des organisations ayant souscrit un contrat d’assurance cybersécurité ont utilisé
leurs indemnités pour couvrir les coûts liés à l’attaque par rançongiciel ou à l’extorsion.

43
Résultats complets

Figure 28

Qui est le premier responsable de la politique en matière de violation


et de cybersécurité et des décisions technologiques prises ?
Pourcentage de réponses, réponses multiples autorisées

46 %
CISO/CSO
27 %

Autre responsable de la sécurité 43 %


(VP, Directeur, etc.) 33 %

Autre responsable informatique 36 %


(VP, Directeur, etc.) 24 %

Aucune responsabilité individuelle 30 %


(responsabilité partagée) 37 %

25 %
CIO/CTO
45 %

12 %
PDG/COO
23 %

Conseil consultatif
14 %

0% 10 % 20 % 30 % 40 % 50 %

Responsable de la violation Décideur

Les CISO sont les plus susceptibles d’être tenus


responsables de la violation de données.

Comme le montre la Figure 28, 46 % des répondants ont déclaré que le


CISO/CSO serait tenu responsable en cas de violation de données, mais
seulement 27 % ont déclaré que le CISO/CSO était le premier responsable
de la politique de cybersécurité et de la prise de décision en ce qui concerne
les technologies. Les PDG et les COO sont les moins susceptibles d’être
tenus responsables d’une violation de la confidentialité des données, tandis
que le CIO/CTO est le plus souvent considéré comme l’ultime décisionnaire
en ce qui concerne la politique et les technologies de cybersécurité.

44
Résultats complets

Figure 29

Coût total moyen d’une violation de la confidentialité des données avec


une équipe IR et des tests des plans de réponse aux incidents
Mesuré en millions de dollars US

6,00 M$

5,29 M$

5,00 M$
4,74 M$

4,00 M$

3,56 M$ 3,59 M$ 3,60 M$ 3,56 M$ 3,51 M$


3,29 M$

3,00 M$

2,00 M$

1,00 M$

0$
Formation d’une équipe Tests d’un plan de réponse Équipe IR et tests d’un plan IR Pas d’équipe IR et pas
de réponse aux incidents (IR) aux incidents (IR) de tests d’un plan IR

2019 2020

Les équipes IR, combinées à des tests des plans de


réponse aux incidents, réduisent considérablement le
coût d’une violation de la confidentialité des données.

Comme le montre la Figure 29, les organisations qui ont à la fois constitué
une équipe de réponse aux incidents (IR) et testé de manière approfondie
leur plan de réponse aux incidents enregistrent un coût moyen par violation
de données de 3,29 millions de dollars. En revanche, les organisations qui
n’ont pris aucune de ces mesures enregistrent un coût total moyen de
5,29 millions de dollars, soit une différence de 2 millions de dollars.

45
Résultats complets

Tendances et efficacité en matière d’automatisation de la sécurité

C’est la troisième année que nous examinons la


relation entre le coût des violations de données et
l’automatisation de la sécurité. Dans ce contexte,
l’automatisation de la sécurité fait référence à la
mise en œuvre de technologies de sécurité qui
étendent ou remplacent l’intervention humaine dans
l’identification et le confinement des cyber-incidents
ou des violations. Ces technologies sont basées sur
l’intelligence artificielle, l’apprentissage automatique,
l’analytique et l’orchestration automatisée.

Résultats clés

21 % 3,58 M$ 30 %
Part des organisations en 2020 Différence au niveau du coût total Part des organisations en Allemagne
ayant complètement déployé moyen d’une violation de données ayant complètement déployé
l’automatisation de la sécurité, entre les organisations n’ayant pas l’automatisation de la sécurité, la
en hausse par rapport aux 15 % du tout déployé l’automatisation plus élevée de tous les pays
enregistrés en 2018 de la sécurité et celles qui l’ont
complètement déployée

46
Résultats complets

Figure 30

État de l’automatisation de la sécurité, comparant trois degrés de


déploiement
Pourcentage des organisations par degré d’automatisation

60 %

51 %
50 % 48 %

41 %
40 % 38 %
36 %
34 %

30 %

21 %
20 %
16 %
15 %

10 %

0%
2018 2019 2020

Complètement Partiellement Pas du tout déployé


déployé déployé

Le nombre d’organisations ayant complètement déployé


l’automatisation a augmenté ces trois dernières années.

Comme le montre la Figure 30, seuls 21 % des organisations indiquent


avoir complètement déployé l’automatisation de la sécurité, mais ce
pourcentage est en hausse comparé aux 15 % enregistrés dans l’étude de
2018 et aux 16 % enregistrés dans celle de 2019. Dans l’étude de 2020,
38 % des organisations indiquent avoir partiellement déployé
l’automatisation et 41 % indiquent ne pas l’avoir déployée du tout.

47
Résultats complets

Figure 31

Coût total moyen d’une violation de la confidentialité des données par


degré de déploiement de l’automatisation de la sécurité
Mesuré en millions de dollars US

7,00 M$

6,03 M$
6,00 M$

5,16 M$

5,00 M$

4,43 M$

4,11 M$
4,00 M$ 3,86 M$

3,39 M$

3,00 M$ 2,88 M$
2,65 M$
2,45 M$

2,00 M$

1,00 M$

0$
2018 2019 2020

Complètement Partiellement Pas du tout déployé


déployé déployé

L’impact de l’automatisation de la sécurité sur le coût des


violations a augmenté ces trois dernières années.

Comme le montre la Figure 31, le coût total moyen d’une violation s’élève
à 2,45 millions de dollars pour les organisations ayant complètement
déployé l’automatisation de la sécurité, soit 3,58 millions de moins que le
coût total moyen constaté pour les organisations qui ne l’ont pas déployée.
Dans l’étude de 2018, l’écart entre le coût moyen d’une violation pour les
organisations ayant complètement déployé l’automatisation et celles qui ne l’ont
pas déployée était de 1,55 million ; en 2019, cet écart était de 2,51 millions.

48
Résultats complets

Figure 32

Niveau moyen de déploiement de l’automatisation de la sécurité par pays


Pourcentage des organisations dans les trois niveaux d’automatisation

États-Unis 26 % 50 % 24 %

Allemagne 30 % 45 % 25 %

Royaume-Uni 25 % 41 % 34 %

Australie 20 % 45 % 35 %

Corée du Sud 21 % 43 % 36 %

Moyen-Orient 23 % 40 % 37 %

Canada 24 % 38 % 38 %

Japon 28 % 31 % 41 %

Moyenne mondiale 21 % 38 % 41 %

Scandinavie 21 % 36 % 43 %

Italie 19 % 37 % 44 %

Afrique du Sud 16 % 40 % 44 %

ASEAN 16 % 39 % 45 %

Inde 21 % 32 % 47 %

Turquie 20 % 31 % 49 %

France 20 % 31 % 49 %

Brésil 15 % 33 % 52 %

Amérique latine 17 % 29 % 54 %

0% 10 % 20 % 30 % 40 % 50 % 60 % 70 % 80 % 90 % 100 %

Complètement Partiellement Pas du tout déployé


déployé déployé

Le degré d’automatisation de la sécurité varie en fonction


du pays ou de la région.

Comme le montre la Figure 32, c’est aux États-Unis et en Allemagne


que le pourcentage d’organisations ayant déployé complètement ou
partiellement l’automatisation est le plus élevé (76 % aux États-Unis et
75 % en Allemagne). Pas moins de 30 % des organisations ont
complètement déployé l’automatisation de la sécurité en Allemagne,
contre 26 % aux États-Unis. C’est en Amérique latine et au Brésil que le
pourcentage d’organisations n’ayant pas déployé l’automatisation est le
plus élevé (54 % et 52 % respectivement).

49
Résultats complets

Figure 33

Niveau moyen de déploiement de l’automatisation de la sécurité par


secteur d’activité
Pourcentage des organisations dans les trois niveaux d’automatisation

Communication 29 % 39 % 32 %

Distribution 27 % 39 % 34 %

Hôtellerie 21 % 45 % 34 %

Technologie 28 % 37 % 35 %

Pharmaceutique 23 % 41 % 36 %

Médias 22 % 41 % 37 %

Industrie 20 % 43 % 37 %

Services 15 % 45 % 40 %

Moyenne mondiale 21 % 38 % 41 %

Finance 27 % 31 % 42 %

Éducation 18 % 40 % 42 %

Consommation 17 % 41 % 42 %

Santé 23 % 32 % 45 %

Recherche 20 % 35 % 45 %

Public 17 % 38 % 45 %

Énergie 20 % 32 % 48 %

Transports 18 % 32 % 50 %

Divertissement 16 % 33 % 51 %

0% 10 % 20 % 30 % 40 % 50 % 60 % 70 % 80 % 90 % 100 %

Complètement Partiellement Pas du tout déployé


déployé déployé

Le degré d’automatisation de la sécurité varie selon le


secteur d’activité.

Comme le montre la Figure 33, les secteurs des communications, de la


technologie et de la distribution présentent les pourcentages les plus élevés
d’entreprises ayant complètement ou partiellement déployé l’automatisation.
Dans le secteur de la finance, le pourcentage d’entreprises ayant complètement
déployé l’automatisation est supérieur à la moyenne (27 %). Toutefois, le
pourcentage relativement faible d’entreprises ayant partiellement déployé
l’automatisation (31 %) explique pourquoi, pour ce secteur, le pourcentage
combiné des entreprises ayant complètement ou partiellement déployé
l’automatisation (58 %) est inférieur à la moyenne mondiale (59 %). Les
secteurs du divertissement et des transports présentent les pourcentages les
plus élevés d’organisations n’ayant pas déployé l’automatisation.

50
Résultats complets

Délai nécessaire pour identifier et confiner une violation de la


confidentialité des données

Au cours des années précédentes, nos recherches ont


montré que plus une violation des données pouvait être
identifiée et confinée rapidement, plus les coûts étaient
faibles. Le délai moyen d’identification fait référence
au délai nécessaire à une organisation pour déterminer
qu’un incident s’est produit. Le délai de confinement fait
référence au délai nécessaire à une organisation pour
résoudre une situation une fois qu’elle a été identifiée et
pour restaurer le service.

Le temps écoulé entre l’identification initiale de la violation et son


confinement est appelé « durée de vie d’une violation de données ». Ces
mesures peuvent être utilisées pour déterminer l’efficacité des processus de
réponse aux incidents et de confinement d’une organisation. En 2020, cette
étude s’intéresse pour la première fois à l’impact de l’automatisation de la
sécurité sur la durée de vie d’une violation.

Résultats clés

280 jours 315 jours 1,12 M$


Délai moyen nécessaire pour Délai moyen nécessaire pour Économies moyennes réalisées en
identifier et confiner une violation identifier et confiner une violation confinant une violation en moins
de la confidentialité des données de la confidentialité des données de 200 jours au lieu de plus de
due à une attaque malveillante 200 jours

51
Résultats complets

Figure 34

Délai moyen nécessaire pour identifier et confiner une violation


de la confidentialité des données
Mesuré en jours

2020 207 73 280

2019 206 73 279

2018 197 69 266

2017 191 66 257

2016 201 70 271

2015 206 69 275

0 50 100 150 200 250 300

Jours pour identifier Jours pour confiner

Le délai moyen nécessaire pour identifier et confiner une


violation de la confidentialité des données est resté stable.

Comme le montre la Figure 34, les délais moyens nécessaires pour identifier
et confiner une violation ont peu varié ces dernières années. Selon l’étude de
2020, le délai moyen pour identifier une violation est de 207 jours, et le délai
moyen pour la confiner est de 73 jours, ce qui fait un total de 280 jours. En
2019, la durée de vie totale d’une violation était de 279 jours.

52
Résultats complets

Figure 35

Délai moyen nécessaire pour identifier et confiner une violation


de la confidentialité des données par pays ou région
Mesuré en jours

Brésil 265 115 380

Moyen-Orient 269 100 369

Amérique latine 241 87 328

Scandinavie 234 79 313

Inde 230 83 313

Corée du Sud 223 78 301

Australie 211 85 296

Turquie 209 83 292

Japon 218 70 288

ASEAN 211 76 287

Moyenne mondiale 207 73 280

France 205 75 280

Italie 203 65 268

Royaume-Uni 181 75 256

États-Unis 186 51 237

Afrique du Sud 177 51 228

Canada 168 58 226

Allemagne 128 32 160

0 50 100 150 200 250 300 350 400

Jours pour identifier Jours pour confiner

Les écarts de durée de vie des violations entre les pays ou


régions sont importants.

Comme le montre la Figure 35, au Brésil et au Moyen-Orient, le délai


pour identifier et confiner une violation est bien supérieur à la moyenne,
avec respectivement 380 jours et 369 jours. L’Afrique du Sud, le Canada
et l’Allemagne présentent une durée de vie des violations beaucoup plus
courte. Dans les organisations allemandes, le délai moyen de confinement
d’une violation est de 160 jours seulement.

53
Résultats complets

Figure 36

Délai moyen nécessaire pour identifier et confiner une violation de la


confidentialité des données par secteur d’activité
Mesuré en jours

Santé 236 93 329

Public 231 93 324

Divertissement 224 90 314

Distribution 228 83 311

Consommation 226 81 307

Industrie 220 82 302

Services 210 76 286

Éducation 212 71 283

Médias 201 80 281

Moyenne mondiale 207 73 280

Transports 203 72 275

Hôtellerie 200 75 275

Pharmaceutique 191 66 257

Énergie 197 57 254

Communication 191 60 251

Technologie 187 59 246

Recherche 187 57 244

Finance 177 56 233

0 50 100 150 200 250 300 350

Jours pour identifier Jours pour confiner

L’écart de délai pour identifier et confiner une violation est


très important entre les secteurs de la finance et de la santé.

Comme le montre la Figure 36, c’est le secteur de la santé qui présente le


délai moyen le plus long, avec 329 jours. En revanche, c’est le secteur de
la finance qui présente le délai moyen le moins long, avec 233 jours. Neuf
secteurs présentent un délai supérieur à la durée de vie moyenne globale
d’une violation, qui est de 280 jours, et huit secteurs présentent un délai
inférieur à cette moyenne.

54
Résultats complets

Figure 37

Délai moyen nécessaire pour identifier et confiner une violation


de la confidentialité des données par cause première
Mesuré en jours

Attaque malveillante 230 85 315

Incident système 182 62 244

Erreur humaine 182 57 239

0 50 100 150 200 250 300 350

Jours pour identifier Jours pour confiner

Les violations dues à une attaque malveillante sont les plus


longues à identifier et confiner.

Selon l’étude de 2020, il faut en moyenne 315 jours pour identifier et confiner
une violation due à une attaque malveillante, comme le montre la Figure 37.
Par comparaison, ces opérations nécessitent en moyenne 244 jours pour
une violation due à un incident système, et 239 jours pour une violation
due à une erreur humaine. En outre, il faut 23 jours de plus que la moyenne
pour identifier une violation due à une attaque malveillante. En effet, cette
opération nécessite en moyenne 230 jours, alors que la moyenne globale est
de 207 jours.

55
Résultats complets

Figure 38

Délai moyen nécessaire pour identifier et confiner une violation de la


confidentialité des données par degré d’automatisation de la sécurité
Mesuré en jours

Complètement déployé 175 59 234

Partiellement déployé 202 73 275

Pas du tout déployé 228 80 308

0 50 100 150 200 250 300 350

Jours pour identifier Jours pour confiner

L’automatisation de la sécurité réduit le délai nécessaire


pour identifier et confiner une violation.

En 2020, cette étude s’intéresse pour la première fois à l’impact de


l’automatisation sur la durée de vie d’une violation. La Figure 38 montre
que lorsque l’automatisation est complètement déployée, le délai moyen
nécessaire pour identifier une violation est de 175 jours et le délai moyen
pour la confiner est de 59 jours. Sans automatisation, ce délai moyen
est nettement plus long, puisqu’il passe à 228 jours pour l’identification
et à 80 jours pour le confinement, soit un total de 308 jours.

56
Résultats complets

Figure 39

Coût total moyen d’une violation de la confidentialité des données


par durée de vie moyenne d’une violation
Mesuré en millions de dollars US

5,00 M$

4,56 M$

4,33 M$
4,15 M$

4,00 M$
3,75 M$
3,61 M$

3,32 M$ 3,34 M$
3,21 M$ 3,21 M$

3,00 M$
2,79 M$
2,65 M$
2,54 M$

2,00 M$

1,00 M$

0$
2015 2016 2017 2018 2019 2020

Durée de vie de la violation < 200 jours Durée de vie de la violation > 200 jours

La durée de vie des violations a une influence sur le coût


moyen d’une violation.

Au cours des 6 dernières années, les études ont systématiquement montré


que les violations dont la durée de vie (délai total nécessaire pour identifier
et confiner une violation) est supérieure à 200 jours ont un coût nettement
plus élevé que celles dont la durée de vie est inférieure à 200 jours.
Comme le montre la Figure 39, dans l’étude de 2020, les violations dont la
durée de vie est supérieure à 200 jours coûtent en moyenne 1,12 million
de dollars de plus que celles dont la durée de vie est inférieure à 200 jours
(4,33 millions de dollars pour une durée de vie de 200 jours ou plus, contre
3,21 millions de dollars pour une durée de vie de moins de 200 jours).

57
Résultats complets

Coûts à long terme d’une violation de la confidentialité des données

Les conséquences financières d’une violation de la


confidentialité des données peuvent perdurer pendant
des années après l’événement. Dans l’étude de 2019,
nous avions tout d’abord examiné la façon dont les
organisations pouvaient être affectées par les coûts
liés à une violation de la confidentialité des données
sur une période de deux ans ou plus. L’analyse montrait
que les coûts étaient les plus élevés au cours de la
première année après une violation, mais qu’ils avaient
tendance à augmenter à nouveau après deux ans.
Nous avions ensuite examiné la différence en matière de « coûts à long terme » par
violation entre les organisations opérant dans des secteurs fortement réglementés
et les organisations opérant dans des secteurs où les réglementations sur la
protection des données sont moins strictes. Les secteurs fortement réglementés
incluaient l’énergie, la santé, la consommation, la finance, la technologie,
l’industrie pharmaceutique, la communication, le public et l’éducation. Les
organisations des secteurs de la distribution, de l’industrie, du divertissement, des
médias, de la recherche et de l’hôtellerie étaient considérées comme faisant partie
d’un environnement faiblement réglementé. Dans notre analyse comparative des
secteurs d’activité fortement et faiblement réglementés, nous avions conclu que
les coûts réglementaires et juridiques pouvaient avoir contribué à l’augmentation
des coûts dans les années suivant la violation.

Dans l’étude de 2020, nous avons examiné un échantillon de 101 organisations qui
ont supporté des coûts pendant deux ans ou plus après une violation de données.

Résultats clés

61 % 44 % 92 %
Part moyenne des coûts liés à une Part moyenne des coûts liés à une Part moyenne des coûts liés à
violation de la confidentialité des violation de la confidentialité des une violation de la confidentialité
données supportés la première données supportés la première des données supportés les
année année dans les secteurs fortement deux premières années dans les
réglementés secteurs moins réglementés

58
Résultats complets

Figure 40

Répartition moyenne des coûts d’une violation de la confidentialité des


données après deux ans
Pourcentage des coûts cumulés tous les trois mois

30 %

27 % 2019 2020

Temps écoulé Pourcentage du coût total


25 % 24 %
1ère année 67 % 61 %

2e année 22 % 24 %

2 ans et + 11 % 15 %
20 % 19 %

15 % 15 %
15 % 14 %

12 % 12 %
11 %
10 %
10 % 9%
8%
7%
6%

5%
3% 3%
2%

0%
3 mois 6 mois 9 mois 12 mois 15 mois 18 mois 21 mois 24 mois > 2 ans

2019 2020

L’étude de 2020 montre que la part des coûts d’une


violation supportés après 2 ans a augmenté.

Comme le montre la Figure 40, l’analyse du coût d’une violation sur le long
terme a mis en évidence que, en moyenne, 61 % du coût de la violation
sont supportés la première année, 24 % le sont au cours de la deuxième
année, et 15 % le sont au-delà de la deuxième année. Ce dernier pourcentage
est en légère augmentation comparé aux 11 % enregistrés dans l’analyse
de 2019.

59
Résultats complets

Figure 41

Répartition moyenne des coûts d’une violation de la confidentialité


des données au fil du temps dans les secteurs d’activité faiblement
et fortement réglementés
Pourcentage des coûts totaux cumulés tous les trois mois

35 %

31 % Faible Élevé

30 % Temps écoulé Pourcentage du coût total

1ère année 77 % 44 %

2e année 14 % 32 %
25 %
2 ans et + 8% 21 %

21 %

20 % 19 %
18 %
17 %

15 % 14 %
13 %

11 %
10 %
10 %
8% 8%

6%
5%
5% 4% 4% 4%

2%
1%

0%
3 mois 6 mois 9 mois 12 mois 15 mois 18 mois 21 mois 24 mois > 2 ans

Environnement Environnement
faiblement réglementé fortement réglementé

Dans les secteurs fortement réglementés, la majorité des coûts


liés à une violation sont supportés après la première année.

Comme le montre la Figure 41, les organisations travaillant dans les secteurs
faiblement réglementés sont beaucoup plus susceptibles de supporter la
totalité du coût d’une violation au cours de la première année. Dans ces
secteurs, une moyenne de 77 % des coûts sont supportés la première année,
contre une moyenne de 44 % dans les secteurs fortement réglementés.

60
Résultats complets

Figure 42

Répartition moyenne des coûts d’une violation de la confidentialité


des données au fil du temps dans les secteurs d’activité faiblement
et fortement réglementés, pour l’année 2019
Pourcentage des coûts totaux cumulés tous les trois mois

30 %
30 %

Faible Élevé

25 % Temps écoulé Pourcentage du coût total


24 %
23 % 1ère année 81 % 53 %

2e année 14 % 31 %

2 ans et + 5% 16 %
20 %

17 %
16 %
15 % 15 %
15 %

11 % 11 %
10 %
10 %
8%

5%
5% 4% 4%
3%
2%
1% 1%

0%
3 mois 6 mois 9 mois 12 mois 15 mois 18 mois 21 mois 24 mois > 2 ans

Environnement Environnement
faiblement réglementé fortement réglementé

En 2019, l’analyse des environnements fortement et


faiblement réglementés montrait qu’une proportion plus
faible des coûts était supportée plus de deux ans après
une violation.

La Figure 42 compare les coûts à long terme d’une violation constatés


en 2019 dans les différents secteurs d’activité, selon que la protection
des données y était faiblement ou fortement réglementée. Dans l’étude
de 2019, une moyenne de 16 % des coûts étaient supportés après deux
ans dans les secteurs fortement réglementés. Dans l’étude de 2020 (voir
Figure 41), ce pourcentage a augmenté pour atteindre 21 %.

61
Résultats complets

Impacts potentiels du COVID-19

La pandémie de COVID-19 a eu un impact


considérable sur les activités de nombreuses
organisations : augmentation du télétravail ;
demande accrue de services de visioconférence,
d’applications Cloud et de ressources réseau, etc.
Pour comprendre cette nouvelle réalité, nous avons
ajouté plusieurs questions dans notre étude afin
de recueillir les opinions des participants sur les
impacts potentiels du COVID-19 sur le coût d’une
violation de la confidentialité des données.

Résultats clés

54 % 76 % 70 %
Part des organisations qui ont Part des participants ayant déclaré Part des participants ayant déclaré
demandé à leurs employés de que le télétravail augmenterait le que le télétravail augmenterait
télétravailler en raison de la délai nécessaire pour identifier le coût d’une violation de la
pandémie de COVID-19 et confiner une violation de la confidentialité des données
confidentialité des données

62
Résultats complets

Figure 43

Votre organisation a-t-elle demandé à son personnel de télétravailler


en raison de l’épidémie de COVID-19 ?

Non
No
46
46%%

Oui
Yes
54
54 %
%

La majorité des organisations ont demandé à leurs employés


de télétravailler en raison de la pandémie de COVID-19.

Comme le montre la Figure 43, la majorité (54 %) des organisations ayant


participé à l’étude ont demandé à leurs employés de télétravailler en raison
de la pandémie de COVID-19.

63
Résultats complets

Figure 44

Quelle incidence le télétravail aurait-il sur votre capacité à répondre


à une violation de la confidentialité des données ?
Pas d’impact sur le délai nécessaire
ntain
4 % identifier et/ou confiner
pour
4%

Réduction du délai nécessaire


20 % pour identifier et/ou confiner
Decreases time to identify and/or contain
20 %

Augmentation du délai
nécessaire pour identifier
76 %
et/ou confiner
76 %

Les trois quarts des participants s’attendent à ce que le


délai nécessaire pour identifier et confiner une violation
soit allongé.

Parmi les participants dont l’organisation a imposé le télétravail en raison


de la pandémie de COVID-19, plus des trois quarts (76 %) ont déclaré que
le télétravail allongerait le délai nécessaire pour identifier et confiner une
violation, 20 % ont déclaré qu’il le réduirait et 4 % ont déclaré qu’il n’aurait
aucune incidence, comme le montre la Figure 44.

64
Résultats complets

Figure 45

Quelle incidence le télétravail aurait-il sur le coût d’une violation de la


confidentialité des données ?
Pasimpact
No d’impact
7
7%%

Réductionthe
Decrease du cost
coût
23
23 %
%

Augmentation
Increase the cost
du coût
70
70 %
%

Les participants s’attendent à ce que le télétravail


augmente le coût d’une violation.

Parmi les participants dont l’organisation a imposé le télétravail en raison de


la pandémie de COVID-19, 70 % ont déclaré que le télétravail augmenterait
le coût d’une violation, comme le montre la Figure 45. Par ailleurs, 23 % ont
déclaré qu’il le réduirait et 7 % ont déclaré qu’il n’aurait aucune incidence.

65
Résultats complets

Coût d’une méga-violation

Cela fait trois ans que nous examinons le coût des


méga-violations – celles qui concernent plus d’un
million d’enregistrements compromis. Si la plupart des
organisations en font rarement l’expérience, les méga-
violations ont un effet désastreux sur les consommateurs
et les secteurs d’activité. Le coût moyen d’une méga-
violation continue de croître depuis que nous avons
intégré ce pan d’analyse dans l’étude de 2018.

L’enquête de cette année est basée sur l’analyse de 17 organisations qui ont
subi une violation de la confidentialité des données impliquant la perte ou
le vol d’un million d’enregistrements ou plus. Pour une explication complète
de notre méthodologie, consulter la FAQ sur le coût d’une violation de la
confidentialité des données à la fin de ce rapport.

Résultats clés

392 M$ x100 19 M$
Coût moyen d’une violation de plus Différence entre le coût moyen Augmentation du coût moyen
de 50 millions d’enregistrements d’une violation de plus de 50 millions d’une violation de 40 à 50 millions
d’enregistrements et une violation d’enregistrements entre l’étude de
moyenne 2019 et celle de 2020

66
Résultats complets

Figure 46

Coût total moyen d’une méga-violation de la confidentialité des


données par nombre d’enregistrements perdus
Mesuré en millions de dollars US

450 M$

392 M$
400 M$ 388 M$

364 M$

350 M$
345 M$
350 M$
311 M$ 325 M$
309 M$

300 M$
279 M$

250 M$
225 M$
220 M$
200 M$
200 M$
176 M$
163 M$
148 M$
150 M$

100 M$

50 M$
42 M$
50 M$ 39 M$

0$
1 million 10 millions 20 millions 30 millions 40 millions 50 millions et +
à 10 millions à 20 millions à 30 millions à 40 millions à 50 millions

2018 2019 2020

Le coût d’une méga-violation atteint de nouveaux sommets.

Comme le montre la Figure 46, les violations concernant de 1 à 10 millions


d’enregistrements coûtent en moyenne 50 millions de dollars, soit plus de
25 fois le coût moyen de 3,86 millions de dollars constaté pour les violations
concernant moins de 100 000 enregistrements. C’est la tranche de 1 million
à 10 millions d’enregistrements qui connaît la plus forte augmentation (22 %),
passant d’une moyenne de 39 millions de dollars en 2018 à une moyenne de
50 millions de dollars en 2020.

Dans le cas des violations concernant plus de 50 millions d’enregistrements, le


coût moyen était de 392 millions de dollars, soit plus de 100 fois la moyenne.
L’augmentation la plus forte concerne les violations portant sur plus de 50 millions
d’enregistrements, dont le coût moyen passe de 350 millions de dollars en 2018 à
392 millions de dollars en 2020.

67
Étapes pour minimiser les impacts financiers et sur la
marque d’une violation de la confidentialité des données

Investissez dans l’orchestration, l’automatisation


Dans cette section, IBM Security
décrit les mesures prises par les et la réponse liées à la sécurité (SOAR) afin
organisations examinées dans
l’étude pour réduire les coûts
d’améliorer vos délais de détection et de réponse.
financiers et les conséquences sur
leur réputation d’une violation de la Notre étude sur le coût d’une violation de la confidentialité des données
confidentialité des données.* montre que l’automatisation de la sécurité réduit considérablement le
délai moyen d’identification et de réponse à une violation, ainsi que le coût
moyen. Les logiciels et services SOAR peuvent aider votre organisation
à accélérer la réponse aux incidents grâce à l’automatisation, à la
normalisation des processus et à une intégration à ses outils de sécurité
existants. Les technologies d’automatisation, notamment l’intelligence
artificielle, l’analytique et l’orchestration automatisée, ont toutes été
associées à des coûts par violation de données inférieurs à la moyenne.

Adoptez un modèle de sécurité Zero Trust pour


contribuer à empêcher les accès non autorisés à
vos données sensibles.

Les résultats de l’étude montrent que les données d’identification perdues


et volées, ainsi qu’une mauvaise configuration du Cloud, sont les causes
premières les plus fréquentes d’une violation de la confidentialité des
données. Alors que les organisations ont évolué pour intégrer le télétravail et
des environnements multi-Cloud hybrides plus déconnectés, une stratégie
Zero Trust peut contribuer à protéger les données et les ressources en les
rendant accessibles uniquement de façon limitée et dans le bon contexte.

Soumettez votre plan de réponse aux incidents à un


test de résistance au stress afin d’augmenter votre
cyber-résilience.

Les organisations examinées dans l’étude qui ont formé des équipes de réponse
aux incidents (IR) et testé leurs plans de réponse aux incidents ont réduit le
coût total moyen d’une violation de la confidentialité des données de 2 millions
de dollars, comparé aux organisations sans équipes IR qui n’avaient testé
aucun plan de réponse aux incidents. L’adage « Entraînez-vous comme vous
combattez et combattez comme vous vous entraînez » implique de développer
et de tester des protocoles de réponse aux incidents afin d’optimiser la capacité
de votre organisation à répondre rapidement et efficacement aux attaques.

* Les recommandations relatives aux pratiques de sécurité sont formulées à des fins pédagogiques sans garantie de résultats.

68
Étapes pour minimiser les impacts financiers et sur la marque d’une violation de la confidentialité des données

Utilisez des outils qui aident à protéger et surveiller


les nœuds finaux et la main-d’œuvre à distance.

Dans l’étude, 70 % des organisations qui ont imposé le télétravail en raison


de la pandémie de COVID-19 s’attendent à ce que le télétravail augmente
le coût d’une violation. Les produits et services de gestion unifiée des
nœuds finaux (UEM) et de gestion des identités et des accès (IAM) peuvent
aider les équipes de sécurité à avoir une meilleure visibilité sur les activités
suspectes dans l’organisation ainsi que sur les ordinateurs portables des
employés (BYOD), les ordinateurs de bureau, les tablettes, les appareils
mobiles et l’IoT – y compris les nœuds finaux auxquels l’organisation n’a
pas d’accès physique, afin d’accélérer les investigations et les temps de
réponse pour isoler et contenir les dommages.

Investissez dans des programmes de gouvernance,


de gestion des risques et de conformité.

Dans l’étude, les coûts liés à la détection et à l’escalade étaient les plus
élevés derrière les coûts liés à la perte d’activité. La mise en place d’un
cadre interne pour les audits, évaluant les risques au sein de l’organisation
et contrôlant la conformité aux exigences de gouvernance, peut contribuer
à améliorer la capacité d’une organisation à identifier une violation de la
confidentialité des données et à intensifier ses efforts de confinement.

Réduisez au maximum la complexité de votre outil


informatique et de vos environnements de sécurité.

Dans l’étude de cette année, la complexité des systèmes de sécurité est


le facteur numéro un contribuant à une moyenne plus élevée des coûts
par violation de données, parmi une liste de 25 facteurs de coût. Les
violations de données causées par un tiers, une migration étendue vers
le Cloud et des environnements IoT/OT sont également associées à des
coûts par violation de données plus élevés. Les outils de sécurité capables
de partager des données entre des systèmes disparates peuvent aider
les équipes de sécurité à détecter les incidents dans des environnements
multi-Cloud hybrides complexes.

69
Executive
Étapes pour
Summary
minimiser les impacts financiers et sur la marque d’une violation de la confidentialité des données

Protégez vos données sensibles stockées dans des


environnements Cloud, en utilisant des règles et les
technologies appropriées.
Les données hébergées dans des environnements Cloud étant de plus en plus
nombreuses et précieuses, les organisations doivent prendre des mesures pour
protéger les bases de données hébergées dans le Cloud. Utilisez un schéma
de classification des données et des programmes de conservation pour gagner
en visibilité et réduire le volume des informations sensibles vulnérables à
une violation, et protégez-les à l’aide du chiffrement. Recourez à des tests de
vulnérabilité, de pénétration et Red Team pour identifier le niveau d’exposition au
risque et les erreurs de configuration des bases de données hébergées dans le
Cloud. Dans l’étude, toutes ces solutions sont associées à des coûts moyens par
violation de données bien inférieurs.

Utilisez des services managés de sécurité pour contribuer à


pallier le manque de compétences en matière de sécurité.
Les organisations examinées dans l’étude citent la pénurie de compétences en
sécurité comme l’un des principaux facteurs contribuant à l’augmentation des
coûts par violation de données, tandis que les services managés de sécurité
sont associés à des coûts moyens par violation de données bien inférieurs. Un
fournisseur de services managés de sécurité peut aider à simplifier la gestion de la
sécurité et des risques grâce à une surveillance continue et à des solutions et des
services intégrés.

70
Méthodologie de recherche

Par souci de confidentialité, notre outil de


benchmarking n’a collecté aucune information
spécifique aux organisations. Dans le cadre de nos
méthodes de collecte de données, nous n’avons pas
inclus d’informations comptables réelles ; nous avons
demandé aux participants d’estimer les coûts directs
en indiquant une variable de plage sur un axe gradué.
Les participants ont été invités à marquer l’axe gradué
à un point entre les limites inférieure (LI) et supérieure
(LS) d’une plage pour chaque catégorie de coût.

LI LS

La valeur numérique obtenue à partir de l’axe gradué, plutôt qu’une estimation


ponctuelle pour chaque catégorie de coût présentée, a permis de préserver
la confidentialité et de garantir un taux de réponse plus élevé. L’outil de
benchmarking exigeait également des praticiens qu’ils fournissent séparément
une deuxième estimation des coûts indirects et des coûts d’opportunité.

Afin de garantir la facilité de gestion du processus de benchmarking, nous


avons soigneusement limité les éléments aux seuls centres d’activités
de coûts que nous avons jugés cruciaux pour mesurer les coûts d’une
violation de données. Au terme de nos discussions avec des spécialistes,
l’ensemble d’éléments final comprenait un ensemble fixe d’activités de
coûts. Lors de la collecte des données de référence, chaque outil a été
méticuleusement réexaminé pour en vérifier la cohérence et l’exhaustivité.

La portée des éléments de coût par violation de données utilisés dans


notre outil de benchmarking était limitée aux catégories de coût connues
qui s’appliquaient à un large éventail d’opérations métier traitant des
données personnelles. Nous pensions qu’une étude axée sur les processus
métier – et non sur les activités de protection des données ou de respect
de la confidentialité – générerait des résultats de meilleure qualité.

71
Méthodologie de recherche

FAQ sur le coût d’une violation de la confidentialité des données

Qu’est-ce qu’une violation de la confidentialité des données ?


Une violation est définie comme un événement au cours duquel le nom d’une
personne et un dossier médical et/ou un dossier financier ou une carte de débit
sont potentiellement menacés – soit sous forme électronique, soit sous forme
papier. Les violations examinées dans l’étude concernaient entre 3 400 et
99 730 enregistrements compromis.

Qu’est-ce qu’un enregistrement compromis ?


Un enregistrement est un élément d’information qui identifie la personne physique
(individu) dont les informations ont été perdues ou volées lors d’une violation de
données. Par exemple, une base de données avec le nom d’une personne, ses
informations de carte de crédit et d’autres données personnelles, ou un dossier médical
avec le nom et les informations de paiement du titulaire de la police d’assurance.

Comment collectez-vous les données ?


Nos chercheurs ont collecté des données qualitatives à travers plus de 3 200 entretiens
approfondis avec des responsables de 524 organisations ayant subi une violation
de la confidentialité des données entre août 2019 et avril 2020. La sélection des
organisations a débuté en octobre 2019, et les entretiens ont été achevés le 21 avril
2020. Les personnes interrogées sont des professionnels de l’informatique, de la
conformité et de la sécurité des informations qui ont connaissance de la violation de
données subie par leur organisation, ainsi que des coûts associés à la résolution de
cette violation. À des fins de confidentialité, nous n’avons pas collecté d’informations
spécifiques aux organisations visées par l’étude.

Comment calculez-vous le coût ?


Pour calculer le coût moyen d’une violation de la confidentialité des données,
nous avons collecté des informations sur les dépenses directes et indirectes
engagées par l’organisation. Les dépenses directes incluent l’engagement
d’experts, l’externalisation de l’assistance téléphonique, ainsi que la fourniture
de services gratuits de surveillance des crédits et l’offre de remises pour de
futurs produits et services. Les coûts indirects comprennent les enquêtes et les
communications internes, ainsi que la valeur extrapolée de la perte de clients
résultant du taux de rotation ou de la baisse du taux d’acquisition de clients.

Seuls les événements directement liés à la violation de la confidentialité


des données sont représentés dans cette étude. Par exemple, de nouvelles
réglementations telles que le Règlement Général sur la Protection des Données
(RGPD) et le California Consumer Privacy Act (CCPA) peuvent encourager les
organisations à augmenter leurs investissements dans leurs technologies de
gouvernance de la cybersécurité, mais n’affectent pas directement le coût d’une
violation de la confidentialité des données, comme présenté dans cette étude.

Par souci de cohérence avec les années précédentes, nous utilisons la même
méthode de conversion de devise au lieu d’ajuster les coûts comptables.

72
Méthodologie de recherche

En quoi une étude comparative diffère-t-elle d’une étude par sondage ?


L’unité d’analyse dans le Rapport sur le coût d’une violation de la confidentialité
des données est l’organisation. Dans une étude par sondage, l’unité d’analyse
est l’individu. Nous avons recruté 524 organisations pour participer à cette étude.

Le coût moyen par enregistrement peut-il être utilisé pour calculer le coût
des violations qui impliquent des millions d’enregistrements perdus ou volés ?
Le coût moyen des violations de données examinées dans notre étude ne s’applique
pas aux violations de données catastrophiques ou aux méga-violations, comme
celles qui ont visé Equifax, Capital One ou Facebook. Ces dernières ne sont pas
représentatives des violations que de nombreuses organisations subissent.

Par conséquent, pour tirer des conclusions utiles à la compréhension des


comportements de coût dans le cas des violations de données, nous ciblons
les incidents de violation de données qui n’impliquent pas plus de
100 000 enregistrements. Il n’est pas cohérent avec cette étude d’utiliser
le coût par enregistrement pour calculer le coût de violations uniques ou
multiples totalisant des millions d’enregistrements. Cependant, l’étude utilise
un cadre de simulation pour mesurer l’impact des coûts d’une « méga-violation
» impliquant 1 million d’enregistrements ou plus, sur la base d’un échantillon
de 17 très grandes violations de cette taille.

Pourquoi utilisez-vous des méthodes de simulation pour estimer le coût


d’une méga-violation de données ?
L’échantillon de 17 organisations ayant subi une méga-violation est trop
petit pour effectuer une analyse statistiquement significative en utilisant des
méthodes de coût basées sur l’activité. Pour remédier à ce problème, nous
déployons la simulation Monte Carlo pour estimer une gamme de résultats
possibles (aléatoires) à travers des essais répétés.

Au total, nous avons effectué plus de 150 000 essais. La moyenne générale
de toutes les moyennes de l’échantillon fournit un résultat très probable
pour chaque violation de données, quelle que soit sa taille – de 1 million
à 50 millions d’enregistrements compromis.

Suivez-vous les mêmes organisations chaque année ?


Chaque étude annuelle porte sur un échantillon différent d’organisations. Dans
un souci de cohérence avec les rapports précédents, nous sélectionnons et
mettons en corrélation des organisations avec des caractéristiques similaires :
secteur d’activité, effectif, implantation géographique, taille de la violation de
données, etc. Depuis le début de nos recherches en 2005, nous avons étudié
les expériences en matière de violation de données de 3 940 organisations.

73
Méthodologie de recherche

Caractéristiques des organisations

L’étude de 2020 porte sur 524 organisations de


tailles différentes, échantillonnées dans un large
éventail de zones géographiques et de secteurs
d’activité. L’étude a été menée dans 17 pays ou
échantillons régionaux et 17 secteurs d’activité.

Pour la première fois, elle a examiné un groupe d’organisations en Amérique


latine, qui comprend le Mexique, l’Argentine, le Chili et la Colombie.

74
Méthodologie de recherche

Figure 47

Répartition de l’échantillon par pays ou région

Afrique
South Africa
du Sud
4%
États-Unis
United States
12 %
Turquie
Turkey
4%

Amérique latine
LATAM
4% 4%

Italie
Italy
4% Inde
India
9%
Scandinavie
Scandinavia
4%

Australie
Australia
4%

Royaume-Uni
United Kingdom
ASEAN 8%
4%

Corée du
South Korea
Sud
5%
Allemagne
Germany
7%

Canada
5%

Brésil
Brazil
Moyen-Orient
Middle East 7%
6%

France Japon
Japan
6% 7%

Les pays ou régions des six continents sont représentés


dans l’étude.

La Figure 47 montre la répartition des organisations comparées par pays


ou région. Les États-Unis sont les plus représentés (12 %), suivis par l’Inde
(9 %) et le Royaume-Uni (8 %). Les pays/régions les moins représentés
sont la région ASEAN, l’Australie, la Scandinavie, l’Italie, l’Amérique latine,
la Turquie et l’Afrique du Sud.

75
Méthodologie de recherche

Figure 48

Répartition de l’échantillon par taille d’organisation


Mesurée par effectif

Moinsthan
Less de 500
500
Plus de
More than
25 25,000
000 13
13 %
%
17
17 %
%

500 à
to11,000
000
12
12 %
%

10,001
10 001 àto25
25,000
000
14 %
14 %

1 001 àto55,000
1,001 000
21
21 %
%

5 001 àto10
5,001 10,000
000
23
23 %
%

L’échantillon comporte des organisations de petite,


moyenne ou grande taille.

La Figure 48 montre la répartition des 524 organisations de l’échantillon


par taille d’effectif, laquelle est un indicateur de la taille de l’organisation.
L’échantillon comporte un peu plus d’organisations de taille moyenne,
58 % des organisations comptant entre 1 001 et 25 000 employés, tandis
que 25 % comptent moins de 1 000 employés et 17 % comptent plus de
25 000 employés.

76
Méthodologie de recherche

Figure 49

Répartition de l’échantillon par secteur d’activité

Santé
Healthcare
Médias
Media 1%
Research
Recherche
2% 1%
Finance
Financial
Divertissement
Entertainment 15 %
2%

Éducation
Education
2%

Pharmaceutique
Pharmaceuticals
3%

Hôtellerie
Hospitality
3%

Transports
Transportation
4% Services
13 %
Consommation
Consumer
5%

Communication
5%

Énergie
Energy
6%

Industrie
Industrial
13 %
Distribution
Retail
6%

Public
6%
Technologie
Technology
13 %

La palette des secteurs d’activité étudiés est dominée


par quelques grands secteurs.

La Figure 49 montre la répartition des organisations comparées par


secteur d’activité. Dix-sept secteurs d’activité sont représentés dans
l’étude de 2020. Les plus grands de ces secteurs sont la finance, les
services, l’industrie et la technologie. La définition de chaque secteur
d’activité est fournie ci-après.

77
Méthodologie de recherche

Définitions des secteurs d’activité

Santé Éducation Consommation


Hôpitaux, cliniques Universités et grandes écoles Fabricants et distributeurs de
publiques et privées, sociétés de biens de consommation
Finance formation et de développement
Sociétés bancaires, compagnies professionnel Médias
d’assurance, sociétés Télévision, satellite, réseaux
d’investissement Services sociaux, Internet
Sociétés de services professionnels
Énergie dans les domaines juridiques, de la Hôtellerie
Sociétés pétrolières et gazières, comptabilité et du conseil Hôtels, chaînes de restaurants,
services publics, producteurs et compagnies de croisières
fournisseurs d’énergie alternatifs Divertissement
Production de films, sports, jeux Distribution
Pharmaceutique vidéo et casinos Magasins physiques et
Produits pharmaceutiques, y e-commerce
compris les sciences de la vie Transports
biomédicales Compagnies aériennes, Recherche
compagnies de chemin de fer, Étude de marché, groupes de
Industrie sociétés de transport par camion, réflexion, R&D
Sociétés de fabrication, entreprises de livraison
d’ingénierie et de traitement de Public
produits chimiques Communication Organismes gouvernementaux au
Journaux, éditeurs de livres, niveau fédéral/étatique/local et ONG
Technologie agences de relations publiques
Sociétés de logiciels et de et de publicité
matériels informatiques

78
Méthodologie de recherche

Limites de la recherche

Résultats non statistiques


Notre étude utilise une méthode
Notre étude s’appuie sur un échantillon représentatif et non statistique
de benchmarking confidentielle d’entités internationales. Les inférences statistiques, les marges d’erreur et
et exclusive qui a été déployée les intervalles de confiance ne peuvent pas être appliqués à ces données, car
avec succès dans nos recherches nos méthodes d’échantillonnage ne sont pas scientifiques.
antérieures. Cependant, il existe
des limites inhérentes à cette
Non-réponse
étude comparative qui doivent
être soigneusement examinées
Le biais de non-réponse n’a pas été testé. Il est donc possible que les
avant de tirer des conclusions à organisations qui n’ont pas participé à l’étude soient substantiellement
partir des résultats. différentes en ce qui concerne le coût sous-jacent par violation des données.

Biais d’échantillonnage
Notre base d’échantillonnage étant critique, la qualité des résultats est
influencée par le degré de représentativité de la base d’échantillonnage
des organisations étudiées. Nous pensons que la base d’échantillonnage
actuelle est biaisée en faveur des organisations dotées de programmes de
confidentialité ou de sécurité des informations plus matures.

Informations spécifiques aux organisations


L’étude comparative ne collecte pas d’informations permettant d’identifier
les organisations. Elle permet aux individus d’utiliser des variables de
réponse catégorielles pour divulguer des informations démographiques sur
l’organisation et son secteur d’activité.

Facteurs non mesurés


Nous avons omis des variables dans nos analyses, comme les principales
tendances et les caractéristiques des organisations. Il est impossible de
déterminer dans quelle mesure les variables omises peuvent expliquer les
résultats de l’étude comparative.

Résultats de coût extrapolés


Bien que certains mécanismes de contrôle et de recoupement puissent être
intégrés dans le processus de benchmarking, il est toujours possible que les
répondants n’aient pas fourni de réponses exactes ou véridiques. En outre,
l’utilisation de méthodes d’extrapolation des coûts au lieu de données de
coût réelles peut introduire par inadvertance des biais et des inexactitudes.

Résultats de coût extrapolés


Cette année, la bonne santé du dollar américain a considérablement influencé
l’analyse globale des coûts. La conversion des devises locales en dollar
américain a corrigé les estimations du coût par enregistrement et du coût total
moyen. Par souci de cohérence avec les années précédentes, nous avons
décidé d’utiliser la même méthode de comptabilité au lieu d’ajuster les coûts.

79
À propos du Ponemon Institute et d’IBM Security

Le Rapport sur le coût d’une violation de la


confidentialité des données est produit conjointement En cas de questions ou de
commentaires sur ce rapport de
par le Ponemon Institute et IBM Security. Les recherche, y compris pour obtenir

recherches sont menées indépendamment par le la permission de citer ou de


reproduire le rapport, contacter
Ponemon Institute, et les résultats sont sponsorisés, par courrier, appel téléphonique
ou e-mail :
analysés, rapportés et publiés par IBM Security.
Ponemon Institute LLC
À l'attention de : Research
Department 2308 US 31 North
Traverse City, Michigan
49686 États-Unis
Le Ponemon Institute se consacre à la recherche indépendante et à l’éducation
afin de promouvoir des pratiques de gestion des informations et de la 1.800.887.3118
confidentialité responsables au sein des entreprises et des organisations research@ponemon.org
gouvernementales. Notre mission est de mener des études empiriques de
haute qualité sur les questions critiques qui affectent la gestion et la sécurité
des informations sensibles sur les personnes et les organisations.

Le Ponemon Institute respecte des normes strictes de confidentialité


des données et de recherche éthique, et ne recueille pas de données
personnelles sur les individus (ni d’informations permettant d’identifier
les organisations dans ses études). En outre, des normes de qualité
strictes garantissent qu’aucune question extrinsèque, non pertinente ou
inappropriée n’est posée aux participants.

IBM Security propose l’un des portefeuilles les plus avancés et intégrés de
produits et services de sécurité d’entreprise. Ce portefeuille, appuyé par
la recherche IBM X-Force, de renommée mondiale, fournit des solutions
de sécurité pour aider les organisations à intégrer la sécurité dans leur
matrice afin qu’elles puissent prospérer dans l’adversité.

IBM exploite l’une des organisations de recherche, de développement et


de prestation de services de sécurité les plus vastes et les plus innovantes.
Avec plus de 2 000 milliards d’événements par mois dans plus de 130 pays
sous sa surveillance, IBM détient plus de 3 000 brevets de sécurité. Pour
en savoir plus, visiter ibm.com/security.

80
Étapes à suivre

Services de cybersécurité Gestion des identités et des accès


Réduisez les risques avec nos services de conseil, Connectez de façon sécurisée tous vos utilisateurs,
de Cloud et de sécurité API et appareils à toutes vos applications
En savoir plus En savoir plus

Sécurité des données Gestion des informations et des événements de


Identifiez, classez et protégez les données sensibles sécurité (SIEM)
de votre organisation Obtenez la visibilité requise pour détecter, étudier
En savoir plus et contrer les menaces

En savoir plus

Orchestration, automatisation et réponse liées Sécurité du Cloud


à la sécurité (SOAR) Intégrez la sécurité dans votre parcours vers le
Accélérez la réponse aux incidents grâce à multi-Cloud hybride
l’orchestration et à l’automatisation
En savoir plus
En savoir plus

81
Compagnie IBM France
17 avenue de l’Europe
92275 Bois-Colombes Cedex

La page d’accueil d’IBM est accessible à l’adresse suivante :


ibm.com

IBM, le logo IBM et ibm.com sont des marques d’International Business Machines aux États-Unis et/ou
dans certains autres pays. Les autres noms de produits et de services peuvent être des marques d’IBM ou
d’autres sociétés. La liste actualisée de toutes les marques d’IBM est disponible sur la page web « Copyright
and trademark information » à l’adresse suivante : ibm.com/legal/copytrade.shtml.

Le présent document contient des informations qui étaient en vigueur et valides à la date de la première
publication, et qu’IBM peut mettre à jour à tout moment. Les offres mentionnées dans le présent document
ne sont pas toutes disponibles dans tous les pays où IBM est présent. Les données de performances et les
exemples de clients ne sont présentés qu’à des fins d’illustration. Les performances réelles peuvent varier
en fonction des configurations et des conditions d’exploitation spécifiques.

LES INFORMATIONS CONTENUES DANS LE PRÉSENT DOCUMENT SONT FOURNIES « EN L’ÉTAT », SANS
AUCUNE GARANTIE EXPLICITE OU IMPLICITE. IBM DÉCLINE NOTAMMENT TOUTE RESPONSABILITÉ
RELATIVE À CES INFORMATIONS EN CAS DE CONTREFAÇON AINSI QU’EN CAS DE DÉFAUT D’APTITUDE À
L’EXÉCUTION D’UN TRAVAIL DONNÉ.

Les produits IBM sont garantis conformément aux dispositions des contrats qui régissent leur utilisation.
Il incombe au client de s’assurer de la conformité avec la législation et les réglementations applicables.
IBM ne donne aucun avis juridique et ne garantit pas que ses produits ou services sont conformes aux lois
applicables. Toute instruction relative aux intentions d’IBM pour ses opérations à venir est susceptible d’être
modifiée ou annulée sans préavis, et doit être considérée uniquement comme un objectif.

© Copyright IBM Corporation 2020

82