Chaque violation de données coûte en moyenne 5,06 M$ à l’industrie pharmaceutique

Pour la 15e année consécutive, et la 5e avec IBM Security, le Ponemon Institute, institut de recherche américain sur la gestion et la sécurité des informations sensibles, publie son “rapport sur le coût d’une violation de la confidentialité des données”. Dix-sept secteurs d’activité y sont analysés, soit 524 organisations de toute taille, dans 17 pays sur les six continents. Et, “pour la dixième année consécutive”, les établissements de santé (hôpitaux et cliniques) “continuent d’enregistrer les coûts moyens les plus élevés en matière de violation de données, avec 7,13 millions de dollars – soit une augmentation de 10,5 % par rapport à l’étude de 2019”, faisant ainsi partie des trois secteurs d’activités ayant subi une hausse de ces coûts, avec l’énergie et la distribution. L’industrie pharmaceutique est quant à elle passée d’un coût total moyen de 5,20 M$ en 2019 à 5,06 M$ cette année (- 2,7 %). Au global, le secteur de la santé se retrouve ainsi bien au-dessus de la moyenne mondiale, située à 3,86 M$. Les auteurs du rapport notent que les secteurs les plus réglementés sont ceux qui affichent des coûts plus élevés.

52 % de ces violations sont dues à des attaques malveillantes, et la santé n’y échappe pas (voir ci-dessus) alors qu’il s’agit de la cause la plus coûteuse : ce type d’attaque coûte en moyenne 4,27 M$, “soit près d’1 M$ de plus que celles causées par un incident système ou une erreur humaine”. Principaux vecteurs de ces attaques malveillantes : des données d’identification compromises (19 %), une mauvaise configuration du cloud (19 %) ou une vulnérabilité d’un logiciel tiers (16 %). 53 % des “pirates” sont motivés par des raisons financières.

Le rapport s’est également penché sur les tendances en matière d’automatisation de la sécurité, à savoir “la mise en oeuvre de technologies de sécurité qui étendent ou remplacent l’intervention humaine dans l’identification et le confinement des cyber-incidents ou des violations”, et se basent par exemple sur l’apprentissage automatique. Seules 21 % des organisations ont complètement déployé cette automatisation en 2020 ; elles n’étaient toutefois que 15 % en 2018. Ce qui leur fait gagner 3,58 M$ en moyenne par rapport aux organisations ne l’ayant pas déployée. Une faible automatisation peut également expliquer le délai nécessaire pour identifier et confiner une violation : les établissements de santé mettent 329 jours à gérer une violation de données – délai moyen le plus long – contre 233 sur le secteur financier – délai le plus court.