Soixante pour cent des violations ont permis aux entreprises de récupérer le coût des amendes, du nettoyage et des améliorations technologiques en augmentant les prix, faisant essentiellement payer les consommateurs pour les violations et le manque de préparation des entreprises, selon un rapport annuel publié le 27 juillet.
Le rapport « Cost of Data Breach Report 2022 », basé sur une enquête menée auprès des dirigeants et des professionnels de la sécurité de 550 entreprises, indique que le coût moyen d'une violation de données a continué d'augmenter en 2022, atteignant une moyenne de 4.4 millions de dollars à l'échelle mondiale (en hausse de 13 % depuis). 2020) et 9.4 millions de dollars aux États-Unis. En moyenne, les entreprises ont eu besoin de 277 jours pour identifier et contenir les violations de données, contre 287 jours en 2021, et 83 % des entreprises ont subi plus d'une violation.
"Il est clair que les cyberattaques évoluent en facteurs de stress sur le marché qui déclenchent des réactions en chaîne, [et] nous constatons que ces violations contribuent à ces pressions inflationnistes", déclare John Hendley, responsable de la stratégie de l'équipe de recherche X-Force d'IBM Security. « Nous devons considérer les cyberévénements comme des facteurs susceptibles de mettre à rude épreuve l’économie, à l’instar du COVID, de la guerre en Ukraine, des prix du gaz, tout ça. »
Les rapport annuel, basée sur des enquêtes menées par le Ponemon Institute, n’est pas la première tentative d’évaluer l’impact des violations sur les bilans des entreprises. L'année dernière, une enquête menée par la société d'opérations de sécurité IronNet a révélé que la plupart des entreprises ont été touchées par l'attaque de la chaîne d'approvisionnement contre la société de gestion de réseau SolarWinds, l'entreprise moyenne constatant une baisse de 11 % des revenus en raison de la gestion de l'incident.
Dans l’ensemble, les experts ont estimé que l’incident coûterait à SolarWinds environ environ M $ 18. Quant aux 18,000 100 entreprises et agences gouvernementales touchées (et à la centaine d’organisations qui ont finalement été compromises), elles ont dû faire face à autant de risques. 100 milliards de dollars de coûts de nettoyage, selon l'analyse.
Une « cybertaxe » sur les consommateurs
Alors que les experts en cybersécurité exhortent de plus en plus les entreprises à s'attendre à ce que leurs systèmes soient compromis, elles continuent d'avoir des difficultés à arrêter les attaquants et elles répercutent les coûts sur les consommateurs, note Hendley. Cela suggère que les violations de données et les cyberattaques créent une cybertaxe, affirme-t-il, augmentant les coûts pour les consommateurs et les clients en aval.
"Quand on pense au fait que 83 % des entreprises ont été victimes d'une violation au moins une fois dans leur vie, je pense qu'il devient difficile de dire que nous devons appliquer des dommages-intérêts punitifs pour aider à prévenir les violations", déclare Hendley. "Il y aura toujours un moyen d'entrer, donc je pense que le meilleur investissement que nous puissions faire est d'essayer de déplacer la ligne de protection du périmètre vers une réflexion comme l'attaquant."
En plus de qualifier les violations et les amendes de cybertaxe, le rapport a mis en évidence diverses tendances parmi les secteurs confrontés aux cyberattaques. Les entreprises qui ont réussi à réduire le temps global de détection des violations et de réponse à moins de 200 jours ont économisé 1.1 million de dollars, soit 23 % du coût d'une violation moyenne.
La violation de données coûte le plus cher dans le secteur de la santé
Le coût d’une seule violation de données variait considérablement en fonction du type d’industrie touchée. Le secteur de la santé, fortement réglementé, a continué de débourser le montant le plus élevé pour la compromission de données, atteignant une moyenne de 10 millions de dollars par violation en 2022, à comparer aux sociétés financières qui ont payé en moyenne 6 millions de dollars par violation, soit le deuxième coût le plus élevé en matière de violation. Les sociétés pharmaceutiques et les entreprises technologiques occupent la troisième place à égalité, payant environ 5 millions de dollars pour chaque violation.
Les ransomwares ont continué d’avoir un impact significatif sur les entreprises, malgré les signes indiquant que, jusqu’à présent cette année, les attaques de ransomwares ont quelque peu diminué. L’enquête a révélé que les entreprises qui paient des rançons dépensent moins en frais de nettoyage, mais que les montants élevés des rançons annulent la plupart des économies. De plus, 80 % des entreprises qui paient des rançons sont à nouveau attaquées, selon le rapport « Ransomware : le véritable coût pour les entreprises » publié par la société de sécurité Cybereason l'année dernière.
Les ransomwares ne sont pas aussi coûteux que les attaques de phishing
D’autres recherches ont mis en évidence l’impact des ransomwares sur les entreprises qui ne se sont pas suffisamment préparées aux attaques destructrices. Les deux tiers des entreprises mondiales touchées par des ransomwares ont subi une perte de revenus importante, ont-ils déclaré, tout comme 58 % des personnes interrogées dans les entreprises américaines en particulier. Dans l'ensemble, les attaques ont conduit 31 % des entreprises mondiales à fermer une partie de leurs activités.
« Il est intéressant de voir la différence de coût entre les victimes de ransomwares qui ont choisi de payer et celles qui ont choisi de ne pas le faire », Nicole Hoffman, analyste principale des renseignements sur les cybermenaces chez Digital Shadows, une société de protection contre les risques numériques. « Ceux qui paient sont souvent à nouveau ciblés quelques mois après l’attaque initiale, ce qui augmenterait considérablement les pertes financières. Il est important de prendre en compte ces facteurs au moment de prendre la décision commerciale difficile de payer ou non.
Cela dit, le vecteur initial de l’attaque a également eu un impact significatif sur le coût. Les attaques de compromission de messagerie professionnelle (BEC) et de phishing ont entraîné les coûts moyens de violation les plus élevés (environ 4.9 millions de dollars par incident), les vulnérabilités de tiers et les informations d'identification compromises représentant des dommages d'environ 4.5 millions de dollars par incident.
Le rapport IBM-Ponemon a également mis en évidence les technologies qui pourraient avoir le plus grand impact sur les coûts des violations de données. Les entreprises qui utilisent les technologies d'intelligence artificielle et d'apprentissage automatique (IA/ML), les processus DevSecOps et qui ont formé une équipe de réponse aux incidents ont économisé environ 300,000 276,000 $, 253,000 XNUMX $ et XNUMX XNUMX $ par incident, respectivement.
En revanche, les entreprises qui souffraient de la complexité de leurs systèmes de sécurité, qui migraient vers le cloud et qui connaissaient des problèmes de conformité ont connu les plus fortes augmentations du coût par incident.
Le rapport est basé sur plus de 3,600 550 entretiens avec des individus provenant de 2,200 entreprises de différentes tailles, se concentrant sur les violations impliquant entre 102,000 XNUMX et XNUMX XNUMX enregistrements. Les violations en dehors de cette plage n’ont pas été incluses.
- blockchain
- portefeuilles de crypto-monnaie
- cryptoexchange
- la cyber-sécurité
- les cybercriminels
- Cybersécurité
- Lecture sombre
- département de la Sécurité intérieure
- portefeuilles numériques
- pare-feu
- Kaspersky
- malware
- Mcafee
- NexBLOC
- Platon
- platon ai
- Intelligence des données Platon
- Jeu de Platon
- PlatonDonnées
- jeu de platogamie
- VPN
- la sécurité d'un site web
