Une nouvelle étude d'IBM a confirmé que les organisations canadiennes impliquées dans des violations de données paient en moyenne 6,32 millions de dollars pour résoudre les incidents.

Selon l'étude publiée ce mardi, ce total a diminué par rapport à 2023, lorsque les organisations canadiennes payaient en moyenne 6,94 millions de dollars, et par rapport à 2022, où la moyenne était de 7,05 millions de dollars.

Daina Proctor, directrice des services de sécurité chez IBM Canada, a déclaré : « Il y a 27 000 violations (par an) rien qu'au Canada, un niveau jamais atteint auparavant... ce qui représente près de 75 violations par jour ».

« Lorsque je commence à considérer 75 violations par jour à une moyenne de 6,3 millions de dollars par violation, c'est à ce moment-là que je commence à dire que c'est incroyable ».

Le rapport d'IBM intervient alors que les Canadiens sont régulièrement informés des cyberattaques et autres violations qui mettent leurs données en danger d'être entre des mains non autorisées. Rien que l'année dernière, Ticketmaster, AT&T, Giant Tiger, London Drugs et d'autres ont été victimes de telles attaques.

IBM a cherché à déterminer non seulement l'étendue des attaques mais aussi leur coût - un chiffre qui peut inclure ce que les organisations paient pour la détection, les services juridiques, la gestion de crise, les amendes réglementaires, les compensations aux consommateurs et les pertes d'activités.

Le rapport s'appuie sur une analyse des violations de données subies par 604 organisations dans le monde entre mars 2023 et février 2024.

Parmi les 16 pays étudiés, le Canada occupait la sixième place en termes de coûts des violations de données, derrière des pays tels que les États-Unis, l'Allemagne et l'Italie.

Proctor a déclaré : « Personne ne cherche nécessairement à nuire aux Canadiens, mais ils veulent réaliser des gains financiers, et parfois nous sommes comme un animal faible dans la nature ».

Lorsque IBM a collecté les données de tous les pays étudiés, elle a constaté que les formes d'attaque les plus courantes impliquaient le phishing ou le vol ou la compromission des identifiants. Les attaques de phishing consistent à imiter des personnages de confiance ou des formulaires de connexion pour contraindre les victimes à saisir ou révéler des informations sensibles telles que des mots de passe ou des numéros de cartes de crédit.

Les identifiants volés ou compromis représentaient 16 % des attaques étudiées, prenant en moyenne plus de temps à être détectés et contenus, soit près de 10 mois.

Le phishing arrivait en deuxième position, représentant 15 % des attaques, mais ses coûts finaux étaient plus élevés.

Lorsqu'IBM a réalisé une étude par secteur industriel, elle a découvert que les institutions de santé, les services financiers, l'industrie, la technologie et l'énergie ont subi les coûts de violation les plus élevés, atteignant 9,77 millions de dollars pour les entités du secteur de la santé.

Au Canada, les entreprises des services financiers et de la technologie ont connu les violations les plus coûteuses, avec des coûts moyens respectifs de 9,28 millions de dollars et 7,84 millions de dollars.

En ce qui concerne la gestion des violations, les organisations sont généralement tenues d'impliquer les autorités chargées de l'application de la loi, d'informer les clients et d'éviter de payer des rançons, ce qui pourrait encourager les acteurs malveillants à mener davantage d'attaques.

Proctor a déclaré que certaines de ces mesures ont probablement contribué à réduire les coûts associés aux violations.

Cependant, elle a reconnu que les montants auxquels les organisations sont confrontées lors des violations restent très élevés et sont souvent transférés aux consommateurs.

63 % des organisations interrogées par IBM ont déclaré qu'elles augmenteraient le prix des biens ou services en raison des violations subies, en hausse par rapport à 57 % l'année précédente.

Proctor estime que discuter fréquemment et ouvertement de la manière dont « les coûts nous parviennent » pourrait être une bonne étape pour traiter la « fatigue » liée aux violations de données, lorsque les gens deviennent indifférents aux impacts des attaques parce qu'il y en a trop et qu'ils sentent que leurs données sont déjà exposées.

Elle a également déclaré que l'intelligence artificielle pourrait être un bon outil, car les recherches d'IBM ont montré que les organisations qui utilisaient cette technologie enregistraient des violations plus courtes de 54 jours et des coûts moyens inférieurs de 2,84 millions de dollars.