Pour beaucoup d’entreprises, le monde de la cybersécurité demeure toujours difficile à comprendre, les attaques peuvent surgir de partout et à tout moment, alors que les offres de sécurité sont pléthores. Pour les aider dans leur compréhension, les entreprises peuvent compter sur des études de cabinets indépendants fournissant des estimations du coût des failles de données. Une estimation de coût primordiale pour définir le budget qu’il serait raisonnable de dépenser pour prévenir ces failles, mais également pour justifier ce budget auprès de la direction.
Sándor Bálint, Responsable Sécurité Sciences appliquées des données, Balabit, éditeur de solutions de sécurité contextuelle
Toutefois, s’appuyer simplement sur des indicateurs génériques est une grosse erreur. L’estimation de ce qu’une faille potentielle pourrait coûter à son entreprise ne doit en aucun cas se faire sans prendre en compte spécifiquement le contexte particulier de sa propre entreprise.
Une étude ne prenant en compte aucun élément de contexte n’a aucun sens pour votre entreprise
Le coût d’une faille de données sera en effet très différent pour une multinationale de la finance ou pour une TPE, un artisan ou une bibliothèque municipale. Proposer des chiffres génériques et uniformes tirés de quelques cas permet certes de tirer quelques enseignements intéressants, mais ces chiffres sont fondamentalement dénués de sens dès lors qu’une entreprise les relie à son cas particulier.
En résumé, ces études ne fournissent que des estimations, rarement utiles pour les décisions prises au jour le jour par les professionnels de la sécurité. A contrario, elles peuvent être intéressantes par exemple pour le monde universitaire.
De nombreux coûts à considérer et à anticiper pour disposer d’une estimation précise
Les entreprises doivent procéder à une évaluation des risques afin de déterminer ce qu’une faille pourrait concrètement leur coûter, et cela en tenant compte de leur domaine d’activité, de leurs clients ou encore des données qu’elles traitent. En outre, l’estimation de l’impact n’est qu’une partie de l’évaluation des risques qui doit être réalisée, car il est tout aussi important d’évaluer en parallèle la probabilité qu’une faille arrive…
Pour mieux comprendre ce qu’une faille pourrait représenter au sein de son entreprise, voici les points importants à considérer et les questions à se poser :
Si une faille survient, mon entreprise doit-elle légalement informer ses clients ? Et si oui, comment : email, téléphone, courrier classique ou recommandé ? Qu’est-ce que cela coûterait en termes d’argent, de temps et de matériel ?
Si j’informe mes clients et qu’ils se pressent auprès de mon service client téléphonique pour avoir des explications, faut-il anticiper un besoin de personnel supplémentaire, au moins temporairement, pour offrir un suivi de qualité aux clients ? Si oui, quel surcoût devrions-nous anticiper (ex : heures supplémentaires, personnel intérimaire, etc.) ? Et si plus de clients appelaient ?
Si la faille entraîne des dommages financiers pour les clients, sommes-nous tenus de les indemniser ?
Si des cartes de crédit de clients devaient être annulées, quel coût cela engendrerait-il pour l’entreprise ?
Quel est le coût moyen d’acquisition d’un nouveau client ? Si ce coût augmente dans l’année à venir, comment anticiper cette augmentation et en prévoir les impacts ?
Quel est le taux de perte d’un client actuellement ? Combien cela couterait-il à l’entreprise s’il venait à augmenter ?
Sommes-nous prêts à offrir une certaine compensation aux clients touchés ? Combien cela coûterait-t-il par client ?
En cas de vol d’identité, allons-nous offrir une surveillance du crédit aux clients touchés ? Pour combien de temps ? Quel serait le coût de ce service ?
Pouvons-nous nous attendre à une amende ? A quelle réglementation l’entreprise est-elle soumise ? Quel serait le montant maximum de l’amende ?
Existe-t-il une loi engageant la responsabilité personnelle de la direction ? Le directeur de l’entreprise peut-il être mis en examen voire être exposé à une peine de prison ?
En cas de faille, devrons-nous faire appel à des experts en investigation numérique ? Si oui, quel serait le coût de ce type de prestation ?
Si une faille survient, l’activité de l’entreprise sera-t-elle impactée tant que l’investigation numérique est en cours ? Où le process d’investigation nécessitera-t-il la suspension provisoire de certaines activités ? Dans ce cas, quelle perte financière cela pourrait représenter ?
Après une faille, il est souvent inévitable de reconstruire les systèmes affectés et de vérifier l’intégrité des données sauvegardées. Quels seraient les coûts liés (à la location de matériel, la main-d’œuvre, le temps et les équipements, ainsi que les revenus perdus si le système compromis doit être mis hors ligne, etc.) à anticiper pour l’entreprise ?
Devrons-nous recourir à une assistance juridique externe ? Quel serait le coût de cette prestation ?
Devrons-nous recourir à des spécialistes de la communication/des relations presse pour travailler sur la réputation et l’image de l’entreprise ? Quel budget anticiper ?
Quel pourrait être le pourcentage de clients susceptibles de poursuivre l’entreprise en justice en cas de faille de données ? Combien cela pourrait-il coûter à l’entreprise en frais juridiques et en dommages-intérêts ?
Quel impact une faille de données pourrait-elle avoir sur le cours de l’action de l’entreprise à court terme ? Quel effet financier une baisse soudaine du cours de l’action pourrait-elle entraîner ? Quelles seraient les conséquences si la faille survenait en pleine période de négociation pour un projet de fusion/acquisition.
Pour les organismes financiers : si la confiance des clients est fortement affectée et que cela entraine une forte réaction (retrait d’argent par exemple), quel effet cela pourrait-il avoir sur les liquidités de l’entreprise ?
Cela ne fait aucun doute, il est difficile d’anticiper tous ces éléments avec précision et d’estimer concrètement les dégâts que pourraient générer une faille de données. Les apparences sont souvent trompeuses : selon la façon dont elles sont communiquées par l’entreprise, les conséquences d’une faille de données peuvent paraître marginales, dès lors qu’elles sont par exemple simplement estimées par rapport à l’impact qu’elles ont sur le cours de l’action. C’est une vision déformée de la réalité, puisque cela ne tient pas compte de tous les autres aspects : la réputation, l’image, les pertes potentielles de clients dans un avenir proche, les actions en justice qui pourraient être engagées a posteriori, etc.
Yahoo, a fait les frais de ces conséquences imprévues sur le long terme suite à une faille massive de données. Après 3 ans d’investigation, de plaintes, et de gros titres dans la presse, Yahoo payerait certainement très cher pour conclure ce chapitre de son histoire et travailler à l’acquisition de clients, à l’optimisation de son image, etc. Même si une entreprise peut survivre à ce type de failles, la leçon coûte tout de même très cher et les moins bien préparées peuvent mettre la clé sous la porte.
Guide du RSSI de demain, la rédaction d’Alliancy, le mag a mené l’enquête !
Découvrez dans notre dernier guide le portrait-robot de cet acteur incontournable de la transformation numérique.
XEn poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies essentiels au fonctionnement du site, ceux nous permettant d'améliorer votre expérience, de mesurer l’audience de notre site et de vous proposer un contenu plus adapté. Vous avez la possibilité de personnaliser l'utilisation de ces cookies. Mais la désactivation de certains de ces cookies peut avoir un effet sur votre expérience de navigation. En savoir plusPersonnaliser mes choixJe refuse toutJ'ACCEPTE TOUT
Politique de confidentialité
Privacy Overview
This website uses cookies to improve your experience while you navigate through the website. Out of these cookies, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may have an effect on your browsing experience.
Les cookies nécessaires sont absolument essentiels au bon fonctionnement du site Web. Ces cookies assurent les fonctionnalités de base et les fonctions de sécurité du site Web, de manière anonyme.
Les cookies fonctionnels aident à exécuter certaines fonctionnalités telles que le partage du contenu du site Web sur les plates-formes de médias sociaux, la collecte de commentaires et d’autres fonctionnalités tierces.
Cookie
Durée
Description
mautic_device_id
1 year
Ce sont des cookies tiers utilisés par Mautic qui nous permettent d’utiliser le service Mautic. Nous utilisons Mautic pour soutenir nos activités de marketing.
Ce cookie permet de connaître l’appareil avec lequel le visiteur accède au site. Expiration du cookie au bout d’un an.
mautic_referer_id
30 minutes
Ce sont des cookies tiers utilisés par Mautic qui nous permettent d’utiliser le service Mautic. Nous utilisons Mautic pour améliorer notre compréhension des attentes de nos lecteurs, leurs proposées des contenus et événements les plus pertinents, soutenir nos activités de marketing en suivant leur navigation sur le site, collecter de l’information sur leurs préférences et gérer les formulaires présent sur le site.
Ce cookie permet de connaître l’origine du visiteur.
mtc_id
session
Ce sont des cookies tiers utilisés par Mautic qui nous permettent d’utiliser le service Mautic. Nous utilisons Mautic pour améliorer notre compréhension des attentes de nos lecteurs, leurs proposées des contenus et événements les plus pertinents, soutenir nos activités de marketing en suivant leur navigation sur le site, collecter de l’information sur leurs préférences et gérer les formulaires présent sur le site.
Ce cookie donne un ID au visiteur du site web dans le but de le reconnaître. Expiration du cookie à la fin de la session
mtc_sid
session
Ce sont des cookies tiers utilisés par Mautic qui nous permettent d’utiliser le service Mautic. Nous utilisons Mautic pour améliorer notre compréhension des attentes de nos lecteurs, leurs proposées des contenus et événements les plus pertinents, soutenir nos activités de marketing en suivant leur navigation sur le site, collecter de l’information sur leurs préférences et gérer les formulaires présent sur le site.
Ce cookie donne un ID à la session du visiteur du site, afin de la reconnaître. Expiration du cookie à la fin de la session
Les cookies de performance recueillent des informations sur l'utilisation de nos sites web afin d'améliorer leur attractivité, leur contenu et leur fonctionnalité. Ces cookies nous aident, par exemple, à déterminer quelles pages secondaires de notre site sont visitées et quel type de contenu intéresse nos lecteurs.
Cookie
Durée
Description
YSC
session
Ce cookie est un cookie de Youtube qui enregistre un identifiant unique pour conserver des statistiques sur les vidéos de YouTube que l'utilisateur a vues.
_first_pageview
10 minutes
Ce cookie de session est créé lors du premier affichage de page pour chaque visite. Sa finalité est de permettre de n'afficher certains éléments du code que lors du premier affichage de la page, et rendre le site ainsi plus rapide.
_gat
1 minute
Ce cookie est un cookie de Google Analytics permettant de limiter la cadence des requêtes. Il est valide pendant 24 heures après la date de la session.
Les cookies analytiques sont utilisés pour comprendre comment les visiteurs interagissent avec le site Web. Ces cookies aident à fournir des informations sur les mesures du nombre de visiteurs, du taux de rebond, de la source du trafic, etc.
Les cookies publicitaires sont utilisés pour proposer au visiteurs des publicités personnalisées selon votre parcours sur notre site.
Cookie
Durée
Description
IDE
1 year 24 days
Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
NID
6 months
This cookie is used to a profile based on user's interest and display personalized ads to the users.
VISITOR_INFO1_LIVE
5 months 27 days
This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.
Other uncategorized cookies are those that are being analyzed and have not been classified into a category as yet.
Cookie
Durée
Description
ARRAffinitySameSite
session
No description
attribution_user_id
1 year
No description
cg_uuid
1 year
Sets a unique ID for the visitor, that allows third party advertisers to target the visitor with relevant advertisement. This pairing service is provided by third party advertisement hubs, which facilitates real-time bidding for advertisers.
Dossiers
Chroniques
Guides et carnets
Évènements
Tech In Sport
Green Tech Leaders
Alliancy TV
Alliancy Connect
What’s next CIO ?
Les trophées Alliancy
Tous nos articles
Cybersécurité
Data & IA
DSI & transfo IT
International
Guerre des talents
Nominations
Numérique responsable
Politique publique
Innovation
Alliancy Studio
Alliancy Le Mag
