La santé, secteur le plus impacté par les violations de données
IMB Security et le Ponemon Institute ont dévoilé récemment la 14e édition du rapport sur le coût d'une violation de données (2019 Cost of a Data Breach Report)1. Pour la neuvième année consécutive, les organisations de soins de santé ont enregistré les coûts les plus élevés associés aux violations de données, soit 6,45 millions de dollars par attaque en moyenne, soit 65% de plus que la moyenne mondiale de tous les secteurs (3,92 millions de dollars).
Basée sur des entretiens approfondis avec plus de 500 entreprises du monde entier ayant subi une violation de données entre juillet 2018 et avril 2019, l'analyse de cette étude de recherche prend en compte des centaines de facteurs de coût, allant des activités juridiques, réglementaires et techniques à la perte de notoriété de la marque, la fidélité de la clientèle et la productivité des employés.
Le healthcare en ligne de mire
Le secteur le plus mis en cause est le secteur des soins de santé. Une erreur ou une violation se paye cash : 6,45 millions de dollars en moyenne pour une violation de données dans le secteur des soins de santé contre 2,24 millions par exemple dans le secteur des médias. L'explication ? Plus le secteur est réglementé, plus l'information coûte cher.
Pas seulement des actes criminels
Bien que les atteintes malveillantes soient les plus courantes, les atteintes involontaires dues à des erreurs humaines et aux dysfonctionnements du système restent la cause première de près de la moitié (49%) des atteintes à la confidentialité des données étudiées dans le rapport.
L'erreur humaine en tant que cause fondamentale d'une violation inclut les sessions laissées ouvertes par inadvertance qui peuvent être source d'attaques de phishing, de virus, de perte ou de vol. " Les sessions ouvertes sont responsables d'environ un quart des infractions ", rapporte ainsi l'étude.
Le quart restant est donc lié aux problèmes du système et aux défaillances qui ne sont pas liée à une action humaine.
" Bien que moins coûteux que les attaques malveillantes, les problèmes de système et les erreurs humaines sont toujours coûteux, avec une perte moyenne de 3,24 et 3,5 millions de dollars, respectivement ", conclut le rapport sur ce point.
Biais de l'étude
Un biais majeur doit être mentionné dans cette étude : les organisations de soins de santé sondées sont toutes issues du sol américain. Les États-Unis ont la particularité de connaître des violations de données beaucoup plus onéreuses que celles d'autres pays, avec un coût total moyen de 8,19 millions de dollars (plus du double de la moyenne mondiale). D'autres institutions de soins de santé figurent bel et bien dans l'étude, mais sont reprises dans le secteur public.
Il s'agit donc d'une étude à prendre avec beaucoup de précaution en ce qui concerne l'Europe. Comme les chercheurs le mentionnent dans le rapport, " le coût d'une violation de données est généralement moins coûteux pour les organisations du secteur public, car il est peu probable qu'elles subissent une perte importante de clients à la suite d'une violation de données. " Au contraire du secteur de la santé représenté ici, car la compétition inter-hospitalière faire rage aux États-Unis.
1. https://databreachcalculator.mybluemix. net/executive-summary/
