Comment une violation de données peut entraîner la faillite d’une entreprise

Les principales conséquences financières pour les entreprises victimes d'une violation de données sont à la fois les dépenses directes (à savoir engager des experts en analyse forensique et un cabinet d'avocats, offrir aux victimes des services de protection de l'identité, etc.) et indirectes (telles que le temps perdu, les efforts et les ressources organisationnelles nécessaires pour palier au fonctionnement normal pendant la résolution de la faille de sécurité, la perte de confiance et de clients). Par exemple les pays arabes ont sont ceux dont les coûts directs sont les plus élevés (57%) tandis que les États-Unis ont les coûts indirects les plus élevés (66%).

Le coût total d'une violation de données a augmenté de près d'un tiers depuis 2013, ce qui signifie qu'une violation grave peut aller jusqu’à provoquer la cessation d’activité de l’entreprise touchée.

 

Le coût lié à la perte d'activité est particulièrement élevé pour les entreprises américaines : 3,97 millions de dollars en moyenne (soit 3,6 millions d’euros), selon l’étude du Ponemon Institute. Ce coût comprend la perte anormalement élevée de clients, l'augmentation des dépenses liées à l'acquisition de nouveaux clients, ainsi que les atteintes à la réputation de l’entreprise et la mauvaise image véhiculée. En plus des coûts directs liés à une faille de sécurité, la plupart des sociétés subissent des coûts supplémentaires lié à  la violation de données elle-même, qui entrainent une baisse de confiance des clients actuels et futurs. En conséquence, l’étude montre que la « mauvaise presse » associée à une violation de données a des effets sur la réputation des entreprises, pouvant avoir des conséquences négatives sur les chiffres d’affaires, pouvant générer un taux anormalement élevé de résiliation aux services et avoir un impact négatif sur les taux d’acquisition de nouveaux clients.

 

Estimation des pertes commerciales

 
Les entreprises ayant subi une attaque de ce type et ayant perdu moins d'1%  de leur clientèle existante déclarent une perte de revenu estimée en moyenne à  2,7 millions de dollars (environ 2,5 millions d’euros). Si le total de clients existants perdus dépasse les 4%, ce coût atteint en moyenne 5,5 millions de dollars (environ 4,97 millions d’euros).

Les organismes financiers, de santé et les prestataires de services connaissent des taux d’attrition anormalement élevés, au contraire du secteur public et de l’éducation dont le taux d’attrition anormal reste relativement bas. 

Taux d’attrition anormaux par types de secteurs

La France a le plus haut taux d’attrition, suivie par le Japon, l'Italie, les États-Unis et le Royaume-Uni.
 

Taux d’attrition anormaux par pays (sur 3 années)

 

Suite à une violation de données, les entreprises doivent prendre des mesures pour préserver la confiance de leurs clients, afin de réduire l'impact financier à long terme, affirment les auteurs de l'étude.

Le coût total moyen d'une violation de données pour les 383 entreprises participant à cette étude est passé de 3,79 millions de dollars (3,4 millions d’euros) à 4 millions de dollars (3,62 millions d’euros) en trois ans. 48% des incidents impliquaient une attaque malveillante, 25% étaient dus à la négligence de certains employés (facteur humain) et 27% impliquaient des défaillances techniques liées à des erreurs dans les processus IT ou commerciaux.

Selon une étude de RAND Corporation, le coût de gestion de la cybersécurité devrait augmenter de 38% au cours des dix prochaines années dans le monde, pour atteindre un chiffre d’affaires de près de 100 milliards de dollars (90 milliards d’euros). Les dépenses mondiales en matière de cybersécurité ont dépassé le seuil des 70 milliards de dollars par an (63 milliards d’euros) et augmentent de 10% à 15% par an. De nombreux DSI pensent que les pirates informatiques pourraient prendre le dessus sur les solutions de sécurité actuelles d’ici deux à cinq ans, ce qui impliquera de disposer de défenses plus solides et plus innovantes. Les DSI ne connaissent pas avec certitude toutes les méthodes utilisées par les cyber-criminels pour infiltrer les systèmes, et dans le même temps  ne souhaitent pas divulguer les mesures de sécurité déployées au sein de leurs réseaux. Les dépenses de sécurité vont continuer de croître en 2016, avec 44% des  DSI/RSSI s’attendant à voir leur budget augmenter dans les prochains mois et seulement 4% à penser au contraire que leur budget va diminuer.
« Les dommages potentiels sur la réputation de l’entreprise, les poursuites judiciaires collectives (class actions) et les ralentissements coûteux sont des sujets de préoccupation croissant pour les dirigeants et les entrepreneurs qui accordent une plus grande attention aux pratiques de sécurité de leurs entreprises », selon les spécialistes du Ponemon Institute, cités par Business Insights. Les cyberattaques ont également un impact sur les décisions commerciales, les fusions/acquisitions et les positionnements concurrentiels, comme Ernst & Young le montre dans le tableau ci-dessous.

Conséquences d’une violation de sécurité sur les activités des entreprises (ventes, chaînes logistiques, Recherche & Développement, créances)