Le coût moyen d’une fuite de données d’une PME est actuellement de 117 000 $ par incident, selon une vaste étude sur les coûts des atteintes à la protection des données dans les petites et moyennes entreprises.
Ladite étude a été menée par Kaspersky Lab et B2B International, auprès de plus de 5 000 entreprises dans 30 pays.
Le coût moyen a encore augmenté cette année et certains changements notables ont été apportés à la ventilation des coûts par rapport à celle d’une étude similaire réalisée l’année dernière. Il y avait également des différences notables entre les principaux coûts pour les PME et les grandes entreprises.
L’an dernier, la réaffectation du temps du personnel représentait le coût le plus élevé en matière d’atteintes à la protection des données. Pourtant, cette année, les répondants des PME ont indiqué que les coûts les plus élevés étaient liés à la perte d’activités découlant d’une fuite de données et au recours à des experts externes pour faire une enquête et pour résoudre les problèmes qui en découlent.
Sur le coût moyen de 117 000 $ concernant l’fuite de données d’une PME, 21 000 $ ont été dépensés pour le recours à des experts externes et 21 000 $ de plus ont dû être couverts en raison des affaires perdues. Parmi les autres coûts importants, on compte les salaires supplémentaires du personnel (16 000 $) ; les dommages à la cote de crédit et les augmentations des primes d’assurance (11 000 $) ; l’amélioration des logiciels et de l’infrastructure (11 000 $) ; la réparation des dommages aux marques (10 000 $) et l’embauche de nouveaux employés (10 000 $).
Les coûts les plus bas étaient liés à la formation (9 000 $) et à la rémunération (8 000 $).
Kaspersky Lab souligne que si ces coûts sont si élevés, c’est probablement à cause d’un manque de personnel interne qualifié. Autrement dit, les PME n’ont d’autre choix que de faire appel aux professionnels. Par ailleurs, elles sont particulièrement vulnérables à une perte d’activité à la suite d’une fuite de données.
Toutefois, l’étude a montré que les PME ont tendance à ne pas avoir à creuser profondément pour payer la compensation, ce qui a été attribué à des relations commerciales moins formelles.
Le type de fuite de données des PME a également une incidence importante sur les coûts de résolution. Certaines attaques se sont révélées beaucoup plus coûteuses à résoudre.
Le coût moyen d’une fuite de données d’une PME résultant d’une attaque ciblée était de 188 000 $ ; suivi de celui des incidents de sécurité qui ont affecté les dispositifs connectés (IoT), lequel était évalué à 152 000 $ par incident.
Les brèches causées par la perte de dispositifs contenant des renseignements de nature délicate ont coûté en moyenne 83 000 $, contre 79 000 $ pour celles liées à l’utilisation inappropriée des ressources informatiques. Quant aux infections par des virus et des malwares, elles ont été les moins coûteuses à résoudre, pour un coût moyen de 68 000 $.
Pour les entreprises, les coûts moyens des atteintes à la protection des données sont passés de 1,2 million de dollars en 2016 à 1,3 million de dollars en 2017. Les principaux coûts étant attribuables aux salaires supplémentaires du personnel interne (207 000 $) ; aux améliorations des logiciels et des infrastructures (172 000 $) ; aux recours à des professionnels externes (154 000) ; à la formation (153 000 $) à la perte de marchés (148 000 $) et aux indemnités (147 000 $).
Les PME ont augmenté leurs dépenses en sécurité informatique en réponse à la menace accrue d’attaques. Elles ont ainsi consacré 19 % de leur budget pour la sécurité informatique contre 16 % en 2017.
L’augmentation des dépenses de sécurité dans les très petites entreprises (de 1 à 49 employés) a été beaucoup plus faible (1 %), soit de 13 % à 14 % de leurs budgets informatiques. Il n’y a eu aucun changement en ce qui concerne les dépenses des grandes entreprises (plus de 1 000 employés). En réalité, 19 % de leurs budgets informatiques ont été consacrés à la sécurité.