De plus en plus de pays adoptent des lois obligeant les entreprises subissant une perte ou un vol de données à effectuer des déclarations auprès d’organismes publics. Nous vous invitons à consulter le site http://datalossdb.org/ pour vous rendre compte de l’ampleur de certaines pertes.
Mais une fois la perte irrémédiable des données constatée, vient le moment d’estimer le coût financier pour l’entreprise. Evidemment ce coût dépendra de plusieurs facteurs (type de données, méthode de perte, métier de l’entreprise) et on ne peut établir de règle absolue. Cependant, le Ponemon institute a effectué des études sur des cas de pertes de données dans différents pays et le constat effectué est le suivant :
  • Il existe des différences de coût suivant le pays.
  • Les pertes sont de différentes origines (pour la France la répartition est équitable) :
    • les pertes dues à un problème technique,
    • les pertes par inadvertance et les pertes suite à un acte malveillant
Il existe des couts directs :
  • Activité nécessaire pour analyser/corriger le problème
  • Activité nécessaire pour identifier les données perdues
  • Activité nécessaire pour notifier les personnes impactées
Il existe des couts indirects :
  • Perte de clients ou de marché
  • Publicité négative dans les médias
Ce qui, pour les entreprises françaises, amène les résultats financiers suivants :
  • Coût moyen par donnée perdue : 89 € (217 € pour le domaine de la défense à 31 € pour le secteur public)
  • Le coût d’une perte de donnée due à un tiers (malveillant ou sous-traitant) est 116% plus élevé que dans tous les autres cas.
Ces résultats se basent sur l’analyse des entreprises « avouant » une perte de données pour l’année 2009. En France, l’adoption de la loi obligeant les sociétés à déclarer leur perte de donnée à la CNIL devrait voir le coût des notifications et le nombre de pertes augmenter.