Skip to content
CyberCosts

Le coût d'une violation de données pour une PME, sans le mythe du coût par enregistrement

Investigation, juridique, notification, exposition réglementaire RGPD : ce qu'une fuite de données coûte vraiment à une PME, et pourquoi le fameux coût par enregistrement trompe presque tout le monde.

Publié le 5 min de lecture
violation de donnéesfuite de donnéesRGPDréglementairePME

Il y a un chiffre cité dans chaque article sur les fuites de données, et la plupart le citent de travers.

Vous l'avez vu : « une violation de données coûte X euros par enregistrement ». Les gens prennent la taille de leur base, multiplient, et arrivent à un montant terrifiant. Une entreprise avec deux millions de lignes clients se persuade qu'une fuite est un événement mortel à plusieurs millions. C'est presque toujours faux, et c'est faux d'une manière qui compte, parce que ça vous fait dépenser contre le mauvais risque.

Pourquoi le coût par enregistrement est le mauvais modèle mental

Les moyennes par enregistrement viennent de jeux de données dominés par de grosses fuites dans de grandes organisations, où les coûts fixes de réponse se répartissent sur d'énormes volumes d'enregistrements. Divisez un gros total par un gros dénominateur et vous obtenez un coût unitaire bien net qui semble précis. Il ne survit pas au contact d'une PME.

L'étude des sinistres cyber de NetDiligence, qui est à peu près ce qui se rapproche le plus de l'expérience réelle de sinistres des assureurs plutôt que de l'auto-déclaration par sondage, trouve quelque chose qui devrait recadrer toute la conversation : le coût total d'un incident est essentiellement décorrélé du nombre d'enregistrements exposés. Il suit le chiffre d'affaires. Les incidents PME coûtent en moyenne autour de 240 000 € pour un CA moyen d'environ 85 M€, soit de l'ordre d'une fraction de pour cent du chiffre d'affaires, et ce ratio reste assez stable sur toute la plage.

Donc dans notre modèle, le nombre d'enregistrements est un ajout mineur, pas le moteur. On utilise environ 11 € par enregistrement, puis on le fait décroître fortement : le coût marginal du millionième enregistrement est une infime fraction du premier millier, parce que la notification et la surveillance ont de vraies économies d'échelle et qu'une grande partie du coût d'une fuite est fixe quelle que soit la taille. Une fuite aux États-Unis porte un multiple par enregistrement plus élevé qu'en Europe, surtout à cause de l'environnement de notification et de contentieux, mais les coûts dominants restent les coûts fixes.

De quoi la facture est réellement faite

Retirez la fiction du coût par enregistrement et une fuite, pour une PME, c'est surtout quatre choses.

Investigation et réponse à incident. Il faut comprendre ce qui s'est passé, ce qui a été pris, quand, et si l'attaquant est encore à l'intérieur. C'est un travail spécialisé, facturé en conséquence, et vous ne pouvez pas le sauter parce que vos obligations juridiques et réglementaires dépendent de la connaissance des faits.

Conseil juridique. La réponse à une fuite est un processus juridique autant que technique. Quels régulateurs vous devez notifier, dans quel délai, ce que vous êtes tenu de dire aux personnes concernées, comment limiter votre responsabilité. Un bon conseil en gestion de violation se rembourse en vous évitant des coûts bien plus lourds.

Notification et gestion de l'après vis-à-vis des clients. Prévenir les gens, monter une ligne de réponse, parfois une surveillance de crédit, et le travail de communication pour ne pas avoir l'air négligent. C'est là que le coût par enregistrement existe vraiment, mais atténué, et c'est rarement la plus grosse ligne.

Exposition réglementaire. Celle sur laquelle tout le monde se focalise et que la plupart surestiment.

Les amendes RGPD : l'écart entre le plafond et la réalité

Le RGPD autorise des amendes allant jusqu'à 4 % du chiffre d'affaires annuel mondial ou 20 millions d'euros, le montant le plus élevé étant retenu. Ce chiffre est cité comme si c'était le résultat attendu. C'est le maximum légal, réservé aux pires comportements dans les plus grandes entreprises, et une PME qui subit une fuite, la déclare correctement, et peut démontrer qu'elle avait des contrôles raisonnables se trouve dans une tranche complètement différente.

Dans notre modèle, on traite le coût réglementaire comme une espérance : une exposition liée au chiffre d'affaires multipliée par la probabilité qu'une fuite aboutisse réellement à une amende matérielle, qu'on place autour de 15 % dans l'UE et 12 % au Royaume-Uni. La plupart des violations notifiables ne se terminent pas par une sanction significative. Elles se terminent par une notification, de la remédiation, et un régulateur bien plus intéressé par le fait que vous l'ayez prise au sérieux que par votre mise en faillite. Les États-Unis sont plus désordonnés, parce qu'il n'y a pas de plafond fédéral unique et qu'on a à la place les procureurs d'État et les actions collectives, donc on modélise une probabilité d'application plus élevée là-bas.

Ce qui fait vraiment grimper votre coût réglementaire, ce n'est pas la fuite. C'est de ne pas la déclarer, de la déclarer en retard, ou d'être incapable de démontrer des contrôles de base. Les dissimulations sont ce qui transforme un incident gérable en vraie amende.

Alors, que faire concrètement

Le message n'est pas « les fuites, ce n'est pas cher ». Beaucoup de PME ont été sérieusement touchées par une seule. C'est que le coût est piloté par votre chiffre d'affaires, votre secteur, votre capacité à répondre avec compétence et votre régime réglementaire, pas par la taille brute de votre base de données.

Ça change où vous dépensez. Les contrôles à fort levier sont ceux qui empêchent la fuite d'être grave ou non déclarée : le chiffrement pour rendre les données volées inutilisables, la journalisation pour pouvoir reconstituer ce qui s'est passé, un plan de réponse à incident pour ne pas improviser le calendrier juridique pendant la pire semaine de l'année. Les données d'IBM placent l'équipe et le plan de réponse à incident parmi les plus gros facteurs de réduction du coût d'une fuite, et c'est peu cher par rapport à l'économie réalisée.

Modélisez votre propre exposition par secteur, taille et région, et lisez la méthodologie pour la source derrière chaque chiffre. Arrêtez juste de multiplier votre nombre d'enregistrements par un chiffre trouvé dans un titre d'article.

Articles liés

Combien une PME doit-elle investir en cybersécurité ?
Oubliez la règle du pourcentage du budget informatique. Une façon pratique de dimensionner un budget sécurité de PME face au risque réel, et quels contrôles donnent le plus de réduction par euro.
budget sécuritéPMEgestion du risqueMFA
Assurance cyber pour une PME : est-ce que ça vaut le coup ?
Ce que l'assurance cyber couvre vraiment, ce qu'elle coûte, les exclusions qui mordent au moment du sinistre, et comment décider si votre PME en a besoin ou peut s'auto-assurer.
assurance cyberPMEtransfert de risqueransomware
Le coût de l'arrêt d'activité : la perte cyber que personne ne met sur la facture
L'interruption d'activité est souvent la plus grosse ligne d'un incident cyber, et celle que les PME estiment le plus mal. Comment chiffrer une heure d'arrêt.
interruption d'activitéarrêtransomwareplan de reprise