Depuis la mise en œuvre du règlement général sur la protection des données (GDPR) en mai, qui a fondamentalement modifié le règlement régissant le stockage des données des citoyens de l'UE au moins par le hack de Butlin, 2018 a été une année très importante pour la cybersécurité..

L'un des changements les plus importants concerne la transparence, en particulier les entreprises qui sont obligées de révéler dans les 72 heures si elles ont subi une violation. Bien que les États-Unis appliquent ce type de politique depuis un certain temps, les entreprises européennes n’étaient pas obligées de déclarer publiquement le moment où une infraction était commise, ce qui les laissait libres de garder de telles nouvelles de la part de leurs clients. Mais maintenant que les choses ont changé et que ça commence à chauffer dans l'UE.

  • Nous avons également mis en évidence le meilleur antivirus

Un coup financier

La première chose à laquelle on pense quand on considère le coût de quelque chose, c'est comment peut-on le calculer en valeur monétaire. Jusqu'à présent, il était difficile de déterminer le coût exact d'une violation de données, car de nombreuses entreprises ne sont pas prêtes à dévoiler l'argent qu'elles ont dépensé pour nettoyer le désordre laissé après avoir été touchée ou la chute des chiffres de vente. Il y a cependant certaines indications qui peuvent aider à guider Des études telles que le rapport annuel sur le coût d'une violation de données du Ponemon Institute visent à brosser un tableau plus clair, indiquant que le coût moyen est actuellement de 3,62 millions USD dans le monde (141 USD pour chaque donnée) et de 7,35 millions USD aux États-Unis..

Cependant, cela peut être considéré comme la moyenne, certains résultats financiers étant beaucoup plus importants. Selon son dernier dépôt auprès de la SEC, Equifax a dépensé 242,7 millions de dollars et compté depuis sa violation de données, qui a révélé les informations financières et personnelles sensibles de près de 148 millions de ses clients. Pour ajouter un peu plus de contexte à cela, Equifax a dépensé presque autant en sept mois à peine, comme Target (252 millions USD) en deux ans après la violation de données de 2013. C’est un gros coup dur pour le simple fait de laisser les données des consommateurs non chiffrées et accessibles au public, afin que les pirates informatiques puissent simplement se déplacer et prendre les choses en main..

À l'avenir, nous devrions commencer à voir une image plus claire du coût financier tangible d'une violation de données par le biais d'une législation telle que le GDPR, qui peut imposer aux entreprises jusqu'à 4% de leur chiffre d'affaires global, s'il est avéré qu'elles ont subi une violation..

L'impact de réputation

Outre le fait que les entreprises ont été touchées par un problème financier évident, le volet transparence du RGPD a accru le potentiel de dégradation de la réputation des entreprises. Au fur et à mesure que les consommateurs prennent conscience du nombre croissant de violations, ils commencent à comprendre qu'ils ont le pouvoir dans la relation, en particulier avec le RGPD, permettant des points comme le «droit à l'oubli».

Les entreprises doivent se rendre compte que si elles subissent une violation, les consommateurs iront tout simplement vers une autre marque qu’ils considèrent comme plus sûre. Prenons le cas de TalkTalk, par exemple. Suite à une violation de données très médiatisée, l'entreprise a perdu environ 100 000 clients, qui ont simplement estimé qu'ils ne pouvaient pas faire confiance à l'entreprise pour protéger leurs données. Dans ce cas, le chef de la direction a également dû démissionner, une conséquence croissante qui commence à se manifester auprès de la haute direction, habituellement sur le fil du feu, lorsqu'un manquement se produit..

Ce n’est pas seulement un coup porté à la réputation de clients qui peut affecter une entreprise. Yahoo! a dû réduire son prix demandé de 350 millions de dollars pour son acquisition par Verizon, après avoir subi une énorme brèche qui a touché des millions.

Atténuer les risques et les coûts d'une violation

Alors, avec la réglementation rendant les choses plus transparentes et les titres des médias rendant les consommateurs plus conscients, comment les entreprises peuvent-elles éviter d'être les prochaines Equifax ou TalkTalk?

La réponse simple est qu’il faut changer de mentalité en matière de sécurité dans le monde des affaires. Les entreprises ne peuvent plus adopter l'approche «ça ne nous arrivera pas» ou la mentalité «mon périmètre ne peut être brisé». L'accent doit être mis sur la sécurisation des données les plus sensibles d'une entreprise. Trop d'entreprises tentent de sécuriser l'extérieur et de laisser les données exposées, ce qui signifie que si un pirate informatique s'introduit dans le système, elles peuvent presque s'aider elles-mêmes. Le cryptage des données au repos et en mouvement, la gestion sécurisée des clés de cryptage et leur stockage sécurisé, ainsi que la gestion et le contrôle de l'accès des utilisateurs, sont des étapes vitales pour les entreprises qui veulent se protéger.

Avec presque toutes les entreprises utilisant le cloud et l'émergence continue de l'IdO, les entreprises n'ont jamais eu une telle opportunité de se développer, mais cela entraîne une surface d'attaque accrue contre laquelle se défendre. En mettant en œuvre des solutions telles que le cryptage, les entreprises peuvent essentiellement adopter une stratégie dite de «violation sécurisée», selon laquelle leurs données ne sont pas accessibles en cas d'attaque..

Investir dans cette stratégie est la seule façon pour les entreprises de se protéger contre les conséquences financières et les conséquences pour la réputation qui sont perçues plus fréquemment à l’heure actuelle. Le coût réel d'une violation de données peut encore être suspendu et varier en fonction des activités, mais les entreprises ne devraient pas courir le risque de savoir ce que cela leur coûtera..

Jason Hart, CTO de Data Protection at Gemalto

  • Été piraté? C'est quoi faire ensuite