Bien souvent, les décideurs d’entreprise sous-estiment gravement non seulement la possibilité que leur entreprise soit ciblée par des pirates, mais aussi les coûts de ces incidents. Lorsqu’ils comprendront l’importance des coûts en jeu, les dirigeants d’entreprise seront beaucoup plus portés à organiser une campagne de sensibilisation à la sécurité.
Pour de nombreux chefs d’entreprise, la sécurité des TI est un enjeu étonnamment complexe. D’autre part, à peu près tous les décideurs reconnaissent qu’aucune organisation ne peut se permettre d’ignorer complètement cette question. La cybercriminalité augmente de jour en jour, et les pirates ne se limitent plus aux cibles de grande valeur comme les fournisseurs de services financiers. Les cybercriminels élargissent l’éventail de leurs cibles en tirant parti des occasions qui se présentent. Cela veut dire que toute organisation devient une cible potentielle.
Parallèlement, les chefs d’entreprise hésitent souvent à investir massivement dans des programmes et ressources visant à renforcer la sécurité des données. Personne ne veut dépenser plus d’argent que nécessaire, et les décideurs d’entreprise qui n’ont jamais eu à gérer une atteinte à la protection des données concluront souvent que les risques que de tels événements surviennent ne permettent pas de justifier les dépenses d’une campagne de sensibilisation à la sécurité et d’autres initiatives de cybersécurité.
En réalité, les décideurs sous-estiment souvent grandement non seulement la probabilité que leur entreprise soit ciblée par des pirates, mais aussi les coûts de ces incidents. Lorsqu’ils comprendront l’importance des coûts en jeu, les dirigeants d’entreprise seront beaucoup plus portés à organiser une campagne de sensibilisation à la sécurité.
« En 2014, le coût moyen d’une atteinte à la protection des données a atteint 3,5 millions de dollars, en hausse de 15 pour cent par rapport à 2013. »
Des incidents coûteux
Ces dépenses ont été illustrées clairement dans le rapport de 2014 du Ponemon Institute intitulé Cost of Data Breach: Global Analysis. Le rapport a révélé que les coûts des atteintes à la protection des données survenues l’année dernière ont totalisé 3,5 millions de dollars, en moyenne, en hausse de 15 pour cent par rapport à 2013. Il va sans dire que les coûts de certaines atteintes à la protection des données sont beaucoup plus élevés que d’autres, et ce sont généralement les grandes entreprises qui épongent les dépenses les plus importantes dans la foulée de cyberattaques de grande envergure. Le rapport du Ponemon Institute a cependant conclu que le coût moyen par dossier compromis a atteint 145 $ en 2014, comparativement à 136 $ en 2013. Le coût était même supérieur pour les entreprises américaines, soit d’environ 201 $ par dossier exposé.
En d’autres termes, même si ce sont les grandes entreprises qui font face aux coûts totaux les plus élevés, les petites entreprises doivent encore engager des dépenses considérables si elles sont ciblées par une cyberattaque ou que leurs informations sensibles sont exposées par inadvertance. Et plus l’atteinte est généralisée, plus les coûts sont importants.
Qui plus est, ces coûts émanent d’un éventail de secteurs. Une étude réalisée par IBM a conclu qu’au nombre des cyberattaques commises aux États-Unis, la réputation et l’image de marque de l’entreprise représentaient 29 pour cent des coûts totaux des atteintes à la protection des données, tandis que la perte de productivité comptait pour 21 pour cent de ces coûts. Les pertes de revenus représentaient 19 pour cent des dommages, suivis par les dépenses associées aux analyses judiciaires (12 pour cent), au soutien technique (10 pour cent) et aux mesures de conformité (8 pour cent).
Comme ces chiffres en témoignent, les coûts de ces atteintes ne se limitent pas aux amendes imposées pour cause de non-conformité ni aux initiatives de marketing renforcées pour surmonter une réputation entachée. C’est l’organisation dans son ensemble qui est inévitablement touchée, et ce, dans une large mesure. Il n’existe pas vraiment de moyen de cerner l’incidence négative qu’une atteinte à la protection des données aura.
La solution réside dans la prévention
Compte tenu de ce qui précède, l’importance des mesures de prévention pour les organisations de tous genres devrait sauter aux yeux. Ce n’est pas qu’une question de responsabilité, bien que ce soit important, mais aussi de dollars et de cents. Vu les coûts associés aux atteintes à la protection des données, les mesures de cybersécurité sont sans contredit un investissement valable pour toutes les organisations.
Bien entendu, pour que ces investissements donnent des résultats, il est indispensable que les entreprises choisissent le bon type de mesures préventives. C’est ce qui rend la formation de sensibilisation à la sécurité de l’information aussi percutante. Les campagnes de sensibilisation peuvent améliorer la cybersécurité de façon généralisée et continue. En aidant les employés à mieux comprendre les cybermenaces, les entreprises peuvent réduire considérablement la probabilité de devoir éponger les coûts associés aux atteintes à la protection des données.
Pour en savoir plus sur le rendement des investissements des campagnes de sensibilisation à la sécurité, ce livre blanc dès aujourd’hui.