Quel est l'impact financier de la perte de données pour une entreprise ?

Décryptages
Outils
TAILLE DU TEXTE

pc2Une analyse de Kroll Ontrack.

krollontrack

En 2014, la société de gestion et de protection des données EMC1 a publié les résultats d'un sondage mondial, qui a compilé les réponses de 3.200 leaders de l'informatique et décideurs. Le rapport suggère que la perte de données et les temps d'arrêt coûtent un total de 1,7 billions de dollars chaque année aux entreprises. Mais l'argent n'est qu'une partie de l'équation : Qu'en est-il du temps et de la productivité ? Le coût réel de la perte de données n'est pas une donnée facile à chiffrer.

Le volume des données perdues par les entreprises a augmenté de 400% entre 2013 et 2014. Les tendances telles que l'augmentation de l'utilisation du cloud et des appareils mobiles sur le lieu de travail sont en partie responsables - EMC rapporte que 62% des entreprises interrogées ont déclaré que ces nouveaux environnements de données sont difficiles à protéger et 51% d'entre elles n'ont pas de plan de récupération de données après un sinistre sur ces environnements.

IT Web, rapporte que le coût des violations des données et de la perte de données atteindra 2,1 billions de dollars d'ici 2019 à mesure que les données des consommateurs et des entreprises seront numérisées. Juniper Research2 a indiqué que la plupart de ces violations de données proviendraient de l'infrastructure de réseau existante et des systèmes informatiques, plutôt que des technologies émergentes. Un rapport de Vérizon3 de 2016 sur les violations entrainant des pertes de données suggère que les "petites" infractions de données entraine un coût moyen de 18 120 $ à 35 730 $, pouvant atteindre jusqu'à 555 660 $. Les grandes violations entrainant des pertes de données (100 millions de données ou plus) coûtent en moyenne entre 5 et 15,6 millions de dollars et peuvent atteindre jusqu'à 200 millions de dollars.

Bien que les experts ne s'entendent pas sur les chiffres exacts - ou sur la façon de mesurer le coût de la perte de données - il est clair que la perte d'informations entraine une pénalité financière importante.

Une productivité ralentie

En ce qui concerne la perte de données, l'argent n'est que la partie immergée de l'iceberg. Les attaques entrainent un coût lié au "ralentissement de la productivité" suite à la perte de données. Cela se produit lorsque les réseaux deviennent lents ou ne répondent pas, obligeant les employés à travailler en mode hors connexion, mais aussi lorsque le salarié recherche une donnée perdue ce qui réduit considérablement sa productivité. Même lorsque l'infrastructure informatique tourne au ralenti, les entreprises payent toujours les prestations de réseau et les salaires des salariés.

Une activité à l'arrêt

Le temps est perdu lors d'une violation ou d'une fuite de données, car la récupération peut prendre plusieurs heures ou jours. Au cours du processus de récupération, aucun nouveau travail ne peut être effectué et l'entreprise est à l'arrêt et perd de l'argent. Les efforts de récupération peuvent également arrêter tout développement de produits ou de services, retardant de fait, leur mise sur le marché. Antoine Valette, Business Manager, Kroll Ontrack France, indique "nous avons compris l'importance vitale pour les entreprises de récupérer leurs données dans un délai très serré, aussi nos équipes sont mobilisées 24h/24, 7j/7."

Les amendes et condamnations judiciaires

La perte de données peut également entrainer une amende ou une enquête judiciaire sur les pratiques de stockage et de sécurisation des informations. Dans certains cas, cela peut entraîner une condamnation judiciaire des autorités (jusqu'à 5% du CA) ou des consommateurs, ce qui entraîne une nouvelle augmentation du coût d'une violation des données. Récemment, des utilisateurs américains de Windows 10 ont attaqué le géant mondial de l'informatique Microsoft et lui réclament plusieurs millions de dommages et intérêts. En cause : l'installation "forcée" de Windows 10 qui aurait endommagé leur matériel et entrainé la perte de leurs données.

Les facteurs de menace

II existe de multiples façons pour une entreprise de perdre ses données :

  • Les violations des données causées par des acteurs malveillants. On a vu ces dernières années l'explosion des vols de données et demandes de rançon (ransomware). David Logue, ingénieur et expert en ransomware chez Kroll Ontrack, indique : "Chez Kroll Ontrack, nous conseillons de ne pas payer la rançon. Très souvent, les victimes qui payent leurs agresseurs ne revoient jamais les données séquestrées. Nous avons développé des logiciels et des outils pour déchiffrer les données 'prises en otage'. Il existe plusieurs méthodes utilisées pour déchiffrer les différentes souches de ransomware – nous avons identifié plus de 225 souches et défini des processus de déchiffrement pour plus de 80 d'entre elles, les développeurs de ransomware le savent, et pour faire en sorte que l'argent continue à rentrer, les nouvelles variantes de ransomware récemment développées ciblent à présent ces sauvegardes. C'est pourquoi il est important d'avoir un bon plan de sauvegarde et de récupération, de prendre soin de tester les sauvegardes et d'informer les utilisateurs sur ce à quoi peut ressembler une potentielle attaque par ransomware."
  • Les violations peuvent également être faites par des initiés. Dans certains cas, ce sont des anciens employés mécontents qui ont toujours accès à des systèmes de réseau. Selon Heimdal Security 4, 59 % des employés volent des données d'entreprise propriétaires lorsqu'ils quittent ou sont licenciés.
  • Parfois, ce sont des employés ayant de bonnes intentions qui enfreignent accidentellement les politiques de sécurité des données en essayant de remplir les tâches assignées en utilisant des services technologiques qui ne sont pas approuvés par les administrateurs informatiques locaux.
  • La perte de données peut également se produire en raison d'une défaillance matérielle, de problèmes de compatibilité de logiciels ou de l'interaction des systèmes et cloud.
  • Les périphériques mobiles, quant à eux, présentent un autre problème. De nombreux employés préfèrent utiliser des dispositifs personnels pour accéder aux fichiers de l'entreprise et exigent maintenant la possibilité de travailler à la maison et au bureau. Par conséquent, des informations très sensibles sont souvent transmises sur des réseaux sans fil domestiques ou même des connexions publiques, mettant ces données en danger. Ici, la prévention des pertes se concentre autour de deux politiques : le contrôle et l'authentification du réseau. Les données ne doivent être transmises que sur des réseaux sécurisés et les utilisateurs devraient être tenus d'utiliser au moins une authentification à deux facteurs pour réduire les chances d'accès si un périphérique mobile est perdu ou volé.

Comment gérer les masses de données ?

Les entreprises sont désireuses de stocker autant de données que possible pendant aussi longtemps que nécessaire. Il en résulte des masses de données qui contiennent des quantités d'informations personnelles et commerciales essentielles.

"Il n'est pas rare qu'un client nous dise que son entreprise possède une centaine de bandes de sauvegarde datant de dix ans dans une salle de stockage et ne sait pas trop quelles informations y sont stockées" indique Antoine Valette. Les métiers régulés tels que les secteurs bancaires et de la santé doivent garantir l'accès aux données réglementées pendant un certain temps pour des raisons juridiques. Elles sont obligées non seulement de conserver les bandes physiques, mais également les coûteux systèmes nécessaires à la restauration des données de ces bandes. D'après une récente étude mondiale réalisée par Kroll Ontrack auprès de 720 administrateurs informatiques, 37 % des entreprises exploitent simultanément plusieurs systèmes de sauvegarde, ce qui accroît considérablement le coût et la complexité de la gestion des données. De plus, 34 % des entreprises stockent et gèrent plus de 100 bandes et plus de 50 % prévoient de remplacer leur système de sauvegarde dans les deux ans à venir, augmentant ainsi le nombre de systèmes à gérer.

"Lorsque les entreprises se retrouvent alors avec de multiples systèmes à gérer, il est nécessaire d'évaluer les stratégies de gestion des données archivées et il devient impératif de prendre les décisions appropriées pour garantir l'accès aux données, leur préservation, leur migration et leur suppression en toute sécurité", ajoute Antoine Valette.

Que faire en cas de perte de données ?

Pionnier avec la première récupération de données en 1987, Kroll Ontrack est à la pointe des évolutions technologiques grâce à ses 200 ingénieurs en Recherche et Développement et permet une récupération des données des particuliers et entreprises sur tous les systèmes de sauvegarde : Disque dur, Disque SSD, Serveur, Smartphone / Tablette, Mémoire Flash, Bande magnétique, Ordinateur & Laptop, Système virtuel, Système RAID, NAS, SAN, DAS, Apple, Cloud.

"Chez Kroll Ontrack, nous posons le problème autrement. Depuis presque 30 ans nos ingénieurs se penchent sur les problèmes de perte de données et accumulent les réussites. Ils sont arrivés à la conclusion que les données sont récupérables dans la plupart des cas, quelles que soient les circonstances. Si vous perdez des données, demandez tout de suite l'avis d'un expert qualifié sur ce qu'il convient de faire avant d'entreprendre quoi que ce soit. Il existe un décalage entre la perception du client et la réalité : 78% d'entre eux pensent que leur perte de données provient d'un problème matériel, et que le seul moyen de les récupérer est donc de renvoyer leur disque dur pour une récupération de données en laboratoire. Or, nous constatons que seulement 56% des situations de perte de données résultent de problèmes matériels." explique Antoine Valette.

Comment se prémunir face aux risques ?

Avec une foule de coûts et de causes, il semble très difficile pour les entreprises de lutter contre le fléau de la perte de données, mais quelques préconisations peuvent être respectées pour réduire les risques :

  • La sauvegarde des données des entreprises de façon régulière. Cela peut être effectué sur le site ou utiliser une installation de stockage basée sur le cloud dont le bénéfice est le temps de récupération plus rapide en cas de perte. Les employés doivent également être informés de l'importance de la prévention de la perte de données et des moyens pour éviter les erreurs courantes, comme l'ouverture de pièces jointes inconnues ou le téléchargement d'applications provenant de sources inconnues.
  • L'élaboration d'un ensemble de normes de classification des données pour identifier les données essentielles pour les opérations quotidiennes et s'assurer que cette information a la priorité de restauration la plus élevée en cas de perte.
  • L'accès est un autre moyen de protéger les données : il faut s'assurer que seuls les employés et les dirigeants directement liés à un projet ont accès à des informations pertinentes.


Le coût réel de la perte de données est une combinaison d'argent, de temps et de productivité réduite. Eviter une perte de données consiste à identifier les facteurs de menaces et construire une politique de "Data Loss Prevention" pour résoudre ces problèmes.


1 : https://www.emc.com/about/news/press/2014/20141202-01.htm
2 : https://www.juniperresearch.com/document-library/white-papers/cybercrime-the-internet-of-threats
3 : http://www.verizonenterprise.com/verizon-insights-lab/dbir/2016/
4 : https://heimdalsecurity.com/blog/10-surprising-cyber-security-facts-that-may-affect-your-online-safety/ 

Les Annuaires du Monde du Chiffre