Selon une étude d’IBM Security portant sur le coût des violations de données en 2022, celui-ci a augmenté de 13 % lors des deux dernières années. Parmi les 550 organisations interrogées dans le monde entre mars 2021 et mars 2022, le coût moyen d’une cyberattaque sur les données a atteint le montant de 4,35 millions de dollars contre 4,24 millions en 2021. Cette situation a des conséquences sur les consommateurs, puisque les entreprises augmentent le coût de leurs produits et services pour compenser les pertes.

L’approche « confiance zéro » pour garantir la cybersécurité

D’après le rapport d’IBM, 83 % des organisations étudiées ont subi plus d’une violation de données au cours de leur existence. La cybersécurité est plus que jamais une problématique majeure pour les entreprises, puisque les attaques représentent un coût en hausse année après année. Cette réalité avait d’ailleurs poussé l’administration Biden a obligé les entreprises qui travaillent avec le gouvernement à adopter une approche « confiance zéro » en matière de cybersécurité. Concrètement, elles doivent mettre tous les moyens en place pour restreindre l’accès à leurs données.

L’adoption de cette approche « confiance zéro » par les entreprises prend du retard. 80 % des organisations qui disposent d’infrastructures critiques n’adoptent pas une telle stratégie, ce qui représente un coût de 5,4 millions de dollars lors d’une attaque, soit une hausse de 1,17 million de dollars par rapport aux entreprises qui ont renforcé leur cybersécurité avec cette méthode. 17 % des cyberattaques qui ont touché ces organisations ont été causées par la compromission d’un partenaire commerciale, ce qui souligne les risques d’une confiance excessive.

Une industrialisation de la cybercriminalité

La compromission des informations d'identifications est la première cause de violation pour 19 % des entreprises. L’hameçonnage qui arrive juste après touche 16 % des organisations. Il s’agit également de la cause de violation de données la plus coûteuse en 2022 pour 4,91 millions de dollars en moyenne.

Les rançongiciels et les attaques destructives représentent quant à elles 28 % des violations de données qui impactent les entreprises disposant d’infrastructures critiques comme les services financiers, les entreprises industrielles, de transport ou encore de soins de santé. Les entreprises qui payent la rançon voient le coût de la violation diminuer de seulement 610 000 dollars. C’est une stratégie inefficace puisque le coût moyen d’une rançon est de 812 000 dollars. De plus, se plier à un rançongiciel finance de nouvelles attaques, alors que cet argent pourrait être investi dans la cybersécurité.

En trois ans, les délais pour payer les rançons ont diminué de 94 % dans un contexte d’industrialisation de la cybercriminalité. Alors que les hackers pouvaient donner deux mois à leurs victimes pour payer, certains rançongiciels imposent un délai de moins de quatre jours en 2022. Cela rend plus difficile la détection et le fait de contenir les attaques. Les entreprises possèdent des plans pour répondre à ces menaces, mais 37 % d’entre elles ne les testent pas régulièrement.

Le cloud hybride et l’intelligence artificielle peuvent diminuer les coûts

L’augmentation du nombre de violations des données et de leur coût pour les entreprises a des conséquences directes sur les consommateurs. D’après l’étude, 60 % des organisations qui ont fait l’objet d’une attaque de ce type ont augmenté le prix de leurs produits et de leurs services pour compenser les pertes. Or, le contrecoup d’une violation des données peut se faire sentir plus d’un an après l’attaque initiale.

Plusieurs méthodes peuvent diminuer le coût des violations. Le cloud hybride notamment, présent dans 45 % des entreprises étudiées, permet de réduire les coûts de 1,2 million de dollars par rapport à l’utilisation exclusive d’un cloud public ou de 400 000 dollars face au cloud privé. Le cloud hybride permet aussi de contenir les attaques 15 jours plus rapidement que la moyenne de 277 jours dans le monde. L’IA et l’automatisation utilisée dans la cybersécurité font diminuer les coûts des violations de 3,05 millions de dollars en moyenne.

L’étude d’IBM aborde aussi le cas de la France, où le coût moyen d’une violation de données est de 3,95 millions d’euros. La compromission des emails professionnels est l’attaque la plus coûteuse à hauteur de 5,03 millions de dollars et la plus fréquente est l’hameçonnage dans 15 % des cas de figure. Face à ces menaces, une étude de IDC France publiée en mars dernier a montré que 70 % des entreprises françaises de plus de 500 employés ont augmenté les dépenses en matière de cybersécurité. 3,9 milliards d’euros ont déjà été investis dans la protection des données.