Selon le Rapport sur le coût d’une violation de données d’IBM, le coût moyen global d’une violation de données est de 4,88 millions de dollars. Alors que toute entreprise est vulnérable face à ces violations, quelles que soient sa taille et la nature de son activité, la gravité de ces incidents et les coûts nécessaires pour y remédier peuvent varier.
Par exemple, le coût moyen d’une violation de données aux États-Unis est de 9,36 millions de dollars, soit plus de quatre fois supérieur au coût d’une violation en Inde (2,35 millions de dollars).
En général, les conséquences des violations de données sont particulièrement graves pour les organisations dans les secteurs fortement réglementés comme la santé, la finance et le secteur public, où de lourdes amendes et sanctions peuvent s’ajouter aux coûts. Par exemple, selon le rapport d’IBM, une violation de données moyenne dans le secteur de la santé coûte 9,77 millions de dollars, soit le double du coût moyen de l’ensemble des violations.
Le coût d’une violation de données dépend de plusieurs facteurs. En voici les quatre principaux selon le rapport d'IBM : perte d’activité, détection et endiguement, réponse post-violation et notification.
La perte d’activité, de chiffre d’affaires et de clients qui en résultent coûte aux entreprises 1,47 million de dollars en moyenne. Le coût de la détection et de l’endiguement est encore plus élevé, soit 1,63 million de dollars américains. Les dépenses engagées après la violation (amendes, règlements, frais juridiques, fourniture de services de surveillance gratuits aux clients touchés et autres dépenses similaires) coûtent en moyenne 1,35 million de dollars américains à la victime.
Les coûts de notification, qui comprennent notamment le signalement des incidents aux clients, aux régulateurs ainsi qu’à d’autres tiers, s’élèvent à au moins 430 000 USD. La production de rapports peut toutefois s’avérer particulièrement coûteuse et chronophage.
La loi américaine CIRCIA de 2022 (Cyber Incident Reporting for Critical Infrastructure Act) impose aux organisations des secteurs de la sécurité nationale, de la finance et d’autres secteurs désignés de signaler au Département de la sécurité intérieure, dans un délai de 72 heures, les incidents de cybersécurité qui concernent des données personnelles ou des opérations métier.
Les organisations américaines soumises à la loi HIPPA (Health Insurance Portability and Accountability Act) doivent informer le Département de la Santé et des Services sociaux des États-Unis, les personnes concernées et, dans certains cas, les médias en cas de violation des données de santé protégées.
Les 50 États américains disposent également de leur propre législation en matière de notification des violations de données.
Le Règlement général sur la protection des données (RGPD) exige que les entreprises qui traitent avec des citoyens de l’UE signalent les violations de données aux autorités dans un délai de 72 heures.