Communiqués de presse

IBM annonce aujourd'hui les résultats de l’édition 2024 de son rapport annuel "Cost of a Data Breach" sur les coûts liés aux violations de données.

 

Voici l’extrait des données clés pour la France (le communiqué de presse ci-après présente les chiffres au niveau mondial) :

En France, le rapport 2024 sur le coût d'une violation de données est basé sur une analyse approfondie de violations de données réelles subies par 36 organisations entre mars 2023 et février 2024. La recherche, menée par le Ponemon Institute, sponsorisée et analysée par IBM, a été publiée pendant 15 années consécutives en France.

En 2024, le coût moyen d'une violation de données en France a atteint 3,85 millions d'euros, soit une légère augmentation de 3 % par rapport à l'année précédente.

Les secteurs qui ont connu les coûts de violation de données les plus élevés sont les suivants:

  1. L’industrie pharmaceutique (coût moyen de 5,19 million d’€)
  2. Les services financiers (coût moyen de 4,79 million d’€)
  3. Le secteur de la technologie (coût moyen de 4,73 million d’€)

 

Le coût moyen et la fréquence des violations de données par vecteur d'attaque initial sont les suivants :

  1. Informations d'identification volées ou compromises (14 % des incidents ; coût moyen de 3,35 millions d’€) et mauvaise configuration du Cloud (14 % des incidents ; coût moyen de 3,57 millions d’€).
  2. Vulnérabilité inconnue (Zero Day) (12 % des incidents ; coût moyen de 3,97 millions d’€)
  3. Phishing (11 % des incidents ; coût moyen de 3,86 millions d’€)
  4. La compromission de la sécurité physique est le point d'entrée le plus coûteux (4,23 millions d’€) dans 9 % des violations étudiées.

Cycle de vie des violations de données. En France, il faut en moyenne 218 jours pour identifier une violation et 76 jours pour la contenir, soit une augmentation respectivement de 8 et 4 jours par rapport à 2023.

L'IA et l'automatisation de la sécurité. 70 % des entreprises françaises étudiées déploient désormais l'IA et l'automatisation de la sécurité pour prévenir et combattre les violations. Une organisation qui a eu largement recours à l'IA et à l'automatisation de la sécurité a détecté et contenu un incident 97 jours plus rapidement et a encouru en moyenne 1,83 million d’€ de moins en coûts de violation, par rapport aux organisations qui n'utilisent pas ces technologies - la plus grande économie de coûts révélée dans le rapport 2024.

33 % des violations de données étudiées concernaient des données stockées dans plusieurs environnements, notamment dans des Clouds publics, des Clouds privés et on-premise, pour un coût moyen de 4,22 millions d’€.

 

Communiqué de presse contenant les données mondiales du rapport :

 

Rapport IBM : l'augmentation des perturbations liées aux violations de données fait grimper les coûts à de nouveaux sommets

 

Le vol de propriété intellectuelle a augmenté ; plus d'un tiers des violations concernaient des données non maitrisées par l’entreprise (« shadow data »).

Toutefois, l'utilisation de l'IA et de l'automatisation a permis de réduire le coût des violations de 1,88 million de dollars.

 

CAMBRIDGE, Massachusetts, le 30 juillet 2024 : IBM (NYSE : IBM) a publié aujourd'hui son rapport annuel sur le coût d'une violation de données, révélant que le coût moyen mondial d'une violation de données a atteint 4,88 millions de dollars en 2024 au niveau mondial, alors que les violations deviennent de plus en plus perturbatrices et accroissent encore la pression sur les équipes cyber. Les coûts des violations ont augmenté de 10 % par rapport à l'année précédente, ce qui représente la plus forte hausse annuelle depuis la pandémie. 70 % des organisations victimes d’une violation de données ont déclaré que celle-ci avait entraîné des perturbations importantes ou très importantes.

 

La perte de chiffre d’affaires et les coûts de réponse internes et tiers suite à une violation ont entraîné une hausse des coûts d'une année sur l'autre, alors que les dommages collatéraux des violations de données n'ont fait que s'intensifier. Les effets perturbateurs des violations de données sur les entreprises ne font pas qu'augmenter les coûts, ils prolongent également les conséquences d'une violation, la récupération prenant plus de 100 jours pour la plupart des organisations victimes d'une violation qui ont été en mesure de se rétablir complètement, qui demeurent peu nombreuses (12%).

 

Le rapport 2024 sur le coût d'une violation de données est basé sur une analyse approfondie des violations de données réelles subies par 604 organisations dans le monde entre mars 2023 et février 2024. L'étude, menée par le Ponemon Institute, sponsorisée et analysée par IBM, a été publiée pendant 19 années consécutives et a étudié les violations de plus de 6 000 organisations, devenant ainsi une référence du secteur. 

 

Voici quelques-unes des principales conclusions du rapport 2024 d'IBM :

  • Équipes de sécurité en sous-effectif - Un plus grand nombre d'organisations ont été confrontées à de graves pénuries de personnel par rapport à l'année précédente (augmentation de 26 %) et ont observé une augmentation moyenne de 1,76 million de dollars des coûts liés aux violations en comparaison avec celles qui n'avaient pas ou avaient peu de problèmes de personnel dans le domaine de la sécurité.
  • La prévention basée sur l'IA porte ses fruits - Deux organisations étudiées sur trois déploient l'IA et l'automatisation dans le domaine de la sécurité dans leur centre opérationnel de sécurité (SOC). Lorsque ces technologies ont été largement utilisées dans les processus de prévention, les organisations ont encouru en moyenne 2,2 millions de dollars de moins en coûts de violation, par rapport à celles qui n'ont pas utilisé ces processus - la plus grande économie de coûts révélée dans le rapport 2024.
  • Lacunes en matière de visibilité des données – 40 % des violations ont impliqué des données stockées dans plusieurs environnements, notamment dans un Cloud public, un Cloud privé et on-premise. Ces violations ont coûté plus de 5 millions de dollars en moyenne et ont été les plus longues à identifier et à contenir (283 jours).

 

« La transformation des systèmes d’information avec l’accroissement de plateformes hybrides et la pénurie de personnel de sécurité rendent les organisations de plus en plus vulnérables face à des menaces de plus en plus sophistiquées et augmentées grâce à l’IA. » a déclaré Tonio Povoa, Associate Partner, IBM Consulting en France. « La lutte contre les menaces est une partie d'échec qui nécessite d'avoir toujours plusieurs coups d'avance face à l'adversaire. L'utilisation combinée de l'IA et de l’automatisation ainsi qu’une remise en question régulière de leur programme en matière de cyber sécurité sont essentielles pour les organisations. »

 

La pénurie de personnel de sécurité fait grimper le coût des violations

Plus de la moitié des organisations étudiées ont connu des pénuries de personnel sévères ou importantes l'année dernière et ont par conséquent subi des coûts de violation significativement plus élevés (5,74 millions de dollars pour les niveaux importants de pénurie contre 3,98 millions de dollars pour les niveaux faibles ou nuls). Cette situation survient à un moment où les organisations s'empressent d'adopter les technologies d'IA générative, qui devraient introduire de nouveaux risques pour les équipes de sécurité. En fait, selon une étude de l'IBM Institute for Business Value, 51 % des dirigeants interrogés s'inquiètent de l'apparition de risques imprévisibles et de nouvelles vulnérabilités en matière de sécurité, et 47 % s'inquiètent de nouvelles attaques ciblant l'IA.

 

Les défis croissants en matière de personnel pourraient bientôt être relevés, car davantage d'organisations ont déclaré qu'elles prévoyaient d'augmenter leurs budgets de sécurité par rapport à l'année dernière (63 % contre 51 %), et la formation des employés est apparue comme l'un des principaux domaines d'investissement prévus. Les organisations prévoient également d'investir dans la planification et les tests de réponse aux incidents, dans les technologies de détection et de réponse aux menaces (par exemple, SIEM, SOAR et EDR), dans la gestion des identités et des accès et dans les outils de protection de la sécurité des données. 

 

Gagner du temps avec l'IA

Le rapport révèle que 67 % des organisations ont déployé l'IA et l'automatisation de la sécurité, soit une augmentation de près de 10 % par rapport à l'année précédente, et que 20 % ont déclaré utiliser une forme ou une autre d'outils de sécurité s’appuyant sur l'IA générative. Les organisations qui ont utilisé l'IA et l'automatisation de la sécurité de manière intensive ont détecté et contenu un incident, en moyenne, 98 jours plus rapidement que les organisations qui n'utilisent pas ces technologies. Dans le même temps, le cycle de vie moyen des violations de données à l'échelle mondiale a atteint son niveau le plus bas en sept ans, à savoir 258 jours, contre 277 jours l'année précédente, ce qui montre que ces technologies pourraient aider les défenseurs à gagner du temps en améliorant l'atténuation des menaces et les activités de remédiation.

 

Le raccourcissement du cycle de vie des violations peut également être attribué à l'augmentation de la détection interne : 42 % des violations ont été détectées par l'équipe ou les outils de sécurité de l'organisation, contre 33 % l'année précédente. La détection interne a raccourci le cycle de vie des violations de données de 61 jours et a permis aux organisations d'économiser près d'un million de dollars en coûts de violation par rapport aux violations divulguées par un attaquant.

 

L'insécurité des données alimente le vol de la propriété intellectuelle

Selon le rapport 2024, 40 % des violations concernaient des données stockées dans plusieurs environnements et plus d'un tiers des violations concernaient des données non maitrisées par l’entreprise (données stockées dans des sources de données non gérées), ce qui met en évidence le défi croissant que représentent la traçabilité et la sauvegarde des données.

 

Ces lacunes en matière de visibilité des données ont contribué à la forte augmentation (27 %) des vols de propriété intellectuelle. Les coûts associés à ces enregistrements volés ont également augmenté de près de 11 % par rapport à l'année précédente, pour atteindre 173 dollars par enregistrement. La propriété intellectuelle pourrait devenir encore plus accessible au fur et à mesure que les initiatives d'IA générative font remonter à la surface ces données et d'autres données hautement propriétaires. Les données critiques devenant plus dynamiques et actives dans tous les environnements, les entreprises devront réévaluer la sécurité et les contrôles d'accès qui leur sont associés.

 

Parmi les autres principales conclusions du rapport sur le coût d'une violation de données en 2024, nous pouvons citer :

  • Le vol d'informations d'identification est en tête des vecteurs d'attaque initiaux – Avec 16 %, les identifiants volés/compromis étaient le vecteur d'attaque initial le plus courant. Ces violations d’identifiants et mots de passe sont également celles qui ont mis le plus de temps à être identifiées et contenues (près de 10 mois).
  • Moins de rançons payées lorsque les forces de l'ordre sont impliquées - En faisant appel aux forces de l'ordre, les victimes de ransomware ont économisé en moyenne près d'un million de dollars en coûts de violation par rapport à celles qui ne l'ont pas fait - cette économie ne tient pas compte du paiement de la rançon pour celles qui l'ont payée. La plupart des victimes de ransomware (63 %) qui ont fait appel aux forces de l'ordre ont également pu éviter de payer une rançon.
  • Les organisations ayant des infrastructures critiques affichent les coûts de violation les plus élevés - Les organisations dans les secteurs de la santé, des services financiers, de l'industrie, de la technologie et de l'énergie affichent les coûts de violation les plus élevés, tous secteurs confondus. Pour la 14ème année consécutive, les acteurs du secteur de la santé ont subi les violations les plus coûteuses de tous les secteurs, avec des coûts moyens atteignant 9,77 millions de dollars.
  • Les coûts de la violation sont répercutés sur les consommateurs - 63 % des organisations ont déclaré qu'elles augmenteraient le coût de leurs biens ou services en raison de la violation cette année - une augmentation par rapport à l'année dernière (57 %) - c'est la troisième année consécutive que la majorité des organisations étudiées ont déclaré qu'elles prendraient cette mesure.

 

Sources supplémentaires :

  • Télécharger une copie du rapport 2024 sur le coût d'une violation de données.
  • S’inscrire au webinaire IBM Security sur le coût d'une violation de données en 2024 qui aura lieu le mardi 13 août 2024 à 17h00.
  • Pour en savoir plus sur les principales conclusions du rapport, consultez le blog d'IBM Security Intelligence.

 

À propos d’IBM

IBM est un leader mondial du Cloud hybride et de l'IA, ainsi que des services aux entreprises, qui aide ses clients dans plus de 175 pays à capitaliser sur les connaissances issues de leurs données, à rationaliser leurs processus métier, à réduire leurs coûts et à acquérir un avantage concurrentiel dans leurs secteurs d'activité. Près de 4 000 entités gouvernementales et entreprises dans des domaines d'infrastructures critiques tels que les services financiers, les télécommunications et les soins de santé font confiance à la plateforme Cloud hybride d'IBM et à Red Hat OpenShift pour impacter leurs transformations numériques rapidement, efficacement et en toute sécurité. Les innovations révolutionnaires d'IBM en matière d'IA, d'informatique quantique, de solutions Cloud spécifiques à certains secteurs et de services aux entreprises offrent des options ouvertes et flexibles à nos clients. Tout cela est soutenu par l'engagement légendaire d'IBM en matière de confiance, de transparence, de responsabilité, d'inclusivité et de service.

Pour en savoir plus : www.ibm.com/fr-fr

 

Contacts Presse :

IBM
Gaëlle Dussutour
Tél. : + 33 (0)6 74 98 26 92
dusga@fr.ibm.com

Weber Shandwick pour IBM

Louise Weber

Tél. : + 33 (0)6 89 59 12 54

ibmfrance@webershandwick.com

 

 

 

 

Thématiques du communiqué