Les responsables de la sécurité ont l’habitude de raisonner en termes de défense en profondeur et de veiller à ce que leur pile de sécurité et leur architecture globale offrent résilience et protection. Bien que ce paradigme soit encore vrai aujourd’hui, il est peut-être temps de passer à la sécurité fondée sur les données. Cela signifie une gestion des données qui correspond aux cas d’utilisation actuels, et où les données sont l’actif central qui nécessite une protection tout au long de leur cycle de vie, de leur utilisation à leur élimination. L’édition 2024 du rapport sur le coût d’une violation de données présente des arguments solides en faveur d’un changement de paradigme en matière de sécurité des données.
Le rapport présente une étude portant sur les causes, les impacts financiers et la récupération à la suite de violations de données réelles dans 604 entreprises à travers le monde et 17 secteurs d’activité. Les résultats révèlent des tendances intéressantes qui peuvent aider à résoudre le casse-tête des données, notamment les impacts sur la sécurité, la vie privée, la gouvernance et la réglementation. Tous ces aspects font déjà apparaître des risques accrus liés à la précipitation à mettre en place de nouvelles initiatives d’IA générative et à leur commercialisation rapide, au détriment des considérations de sécurité. De manière alarmante, une récente enquête auprès de dirigeants sur la sécurité de l’IA générative a révélé que seulement 24 % des nouvelles initiatives comprennent un composant de sécurité.
Les données sont devenues le principal atout des entreprises. Pourtant, malgré leur importance capitale, leur gestion et leur protection restent insuffisantes au regard de leur enjeu et des conséquences potentielles d’une perte de données. Examinons comment les données elles-mêmes, leur parcours et les modèles de protection qui encadrent leur cycle de vie contribuent fortement au coût des violations de données.
Tout d’abord, le volume actuel de données exige des entreprises qu’elles dépassent leurs anciennes infrastructures sur site et de cloud privé. Les facteurs déterminants sont l’évolutivité du volume de données, mais aussi les exigences de trafic et de workload qui ne cessent de croître au fil du temps. Compte tenu de la circulation des données à travers des environnements multiclouds, le rapport sur le coût d’une violation de données souligne que 40 % des violations concernent des données stockées dans plusieurs types d’environnements. Lors de violations, ce sont les environnements de cloud public qui ont généré le coût moyen le plus élevé, soit 5,17 millions de dollars américains.
Pourquoi ? La nature décentralisée du multicloud est un facteur complexe pour la visualisation et le contrôle des donnée, et en cas de violation, il faut simplement plus de temps pour recueillir des informations, enquêter et activer le support du fournisseur de cloud pour contenir la violation. Les clouds hébergent également davantage de données, et cette mise à l’échelle signifie qu’un plus grand nombre de données sont compromises simultanément, ce qui peut aggraver l’impact sur les clients et les coûts de récupération.
Les données sont plus dispersées que jamais, et 35 % des violations cette année concernaient des données stockées dans des sources de données non gérées, ou « données fantômes ». Résultat : des données incorrectement classées, mal protégées et non gérées tout au long de leur cycle de vie au sein de l’entreprise. Étant donné que 25 % des failles impliquant des données fantômes se sont produites uniquement sur site, cette situation met en évidence une gestion sans doute insuffisante des risques liés à la gouvernance des données, à la confidentialité des données et aux incidences réglementaires.
Les violations impliquant des données fantômes ont également pris 26,2 % plus de temps à identifier et 20,2 % plus de temps à contenir, soit 291 jours en moyenne. Cela a inévitablement entraîné une augmentation des coûts liés aux violations, qui s’élèvent en moyenne à 5,27 millions de dollars américains lorsque des données fantômes sont impliquées. Toutefois, ce n’est que la partie émergée de l’iceberg si l’on considère les répercussions des violations sur les autres acteurs de l’écosystème, les éventuels problèmes contractuels et les poursuites judiciaires, qui font partie d’une longue série de coûts qui continuent de s’accumuler pendant deux à trois ans après la violation.
Lorsque les données ne sont pas inventoriées et cataloguées efficacement, elles ne sont pas classées correctement et, par conséquent, ne sont pas protégées de manière adéquate. Ce sont probablement des données qui auraient dû être marquées comme restreintes ou confidentielles, ce qui nous amène à la statistique suivante du rapport. Les malfaiteurs ont pu accéder à beaucoup plus de données sensibles pendant les violations, entraînant une augmentation de 26,5 % des vols de propriété intellectuelle. Le coût de ces vols par enregistrement a considérablement augmenté par rapport à l’année dernière, passant de 156 USD en 2023 à 173 USD en 2024, soit une augmentation de 11 %.
Mais laissons de côté ces coûts pour le moment. Pour une entreprise, l’impact du vol de propriété intellectuelle signifie littéralement la perte de son avantage concurrentiel. La perte de parts de marché et de revenus que sa propriété intellectuelle stratégique était censée générer peut être considérable. Quel actionnaire ne serait pas alarmé par cette statistique, sachant que la plupart des entreprises investissent activement dans le développement d’applications d’IA générative innovantes qu’elles prévoient de monétiser en exclusivité ?
Un effet secondaire coûteux d’une protection déficiente des données est la perte d’activité et l’atteinte à la réputation, représentant en moyenne 1,47 million de dollars et la majeure partie de l’augmentation du coût moyen d’une atteinte à la protection des données en 2024.
L’IA générative étant devenue le nouvel eldorado, les différentes parties prenantes au sein d’une entreprise peuvent facilement l’exposer à des risques non maîtrisés liés à des données, des modèles et une utilisation globale de l’IA non autorisés. Ces utilisations peuvent passer inaperçues auprès des équipes informatiques et de sécurité, ce qui peut entraîner des incidents graves à terme.
Les jeux de données provenant de plusieurs fournisseurs tiers destinés à être utilisés dans l’implémentation de l’IA sont un autre de facteur de risque. Non gérées par l’équipe de sécurité, ces sources externes peuvent engendrer des risques tels que l’empoisonnement et les vulnérabilités. Mais les risques les plus insidieux sont les modèles fantômes et les volumes considérables de données d’entraînement non chiffrées qui transitent vers et depuis les environnements cloud.
Prenons cet exemple : un organisme de santé utilise l’IA générative pour identifier les anomalies sur les radiographies pulmonaires. Les images sont envoyées dans un modèle cloud pour recevoir les résultats, mais ces images ne sont pas chiffrées pendant leur transit et leur utilisation. Un pirate accède alors aux images et extorque une rançon au professionnel de santé. Le même scénario peut se produire avec du texte en clair ou toute autre donnée non protégée qui devrait être mieux sécurisée. Dès lors, il n’est pas étonnant que des actions en justice soient intentées par les personnes concernées.
La plupart des entreprises actuelles perdraient la quasi-totalité de leur productivité si elles perdaient l’accès à leurs données. Qu’il s’agisse de la simple productivité des employés ou de la complexité des entreprises axées sur les données, elles ne considèrent pas les données comme un simple sous-produit de leur activité. Les données constituent le principal atout sur lequel les entreprises alignent leur culture, leur organisation et leurs technologies, pour une innovation continue et une croissance durable. Il est donc logique que les données soient gérées et protégées en fonction de leur classification et en faisant appel aux technologies appropriées.
Identifiez, classez, chiffrez. En cas de violation, plus vos données sont protégées, moins les pirates auront de marge de manœuvre. De plus, l’impact sur les personnes concernées sera moindre, de même que le risque de sanctions réglementaires. Alors chiffrez, et chiffrez intelligemment. Toutes les données ne sont pas égales. Si votre entreprise utilise des images ou d’autres types de données, informez-vous sur les meilleurs moyens de les chiffrer afin de pouvoir les utiliser en toute sécurité et profiter de leurs avantages.
Plus votre entreprise est innovante, plus elle utilise de données, et plus le chiffrement est important. Pensez au confidential computing pour vos cas d’utilisation, ainsi qu’au chiffrement post-quantique pour garantir que les données protégées restent protégées à l’avenir.
Les données étant dispersées dans tous les environnements et restant exposées dans de nombreux cas, l’un des moyens de reprendre le contrôle consiste à utiliser la gestion de la posture de sécurité des données (DSPM). La DSPM est une technologie de cybersécurité qui identifie les données sensibles dans plusieurs environnements et services cloud, évaluant leur vulnérabilité face aux menaces de sécurité et le risque de non-conformité réglementaire. Au lieu de sécuriser les appareils, les systèmes et les applications qui hébergent, transfèrent ou traitent des données, les équipes de sécurité peuvent utiliser la DSPM pour se concentrer sur la protection directe des données.
Compte tenu de l’ampleur et des multiples usages des données dans les solutions d’IA générative, les entreprises doivent repenser leur cycle de vie des données et la manière de les protéger à l’échelle, dans tous leurs états. Réfléchissez à la manière de sécuriser les données d’entraînement en les protégeant contre les vols et la manipulation. Les entreprises peuvent associer découverte et classification des données pour détecter les données sensibles utilisées pour l’entraînement ou le réglage fin. Elles peuvent également mettre en place des contrôles de sécurité des données pour le chiffrement, la gestion des accès et le contrôle de la conformité. Étendez la gestion de la posture aux modèles d’IA afin de protéger les données d’entraînement sensibles, gagner en visibilité sur l’utilisation de modèles d’IA non autorisés ou fantômes, les dérives malveillantes, les utilisations abusives de l’IA ou les fuites de données.
L’utilisation des données implique déjà de nombreuses exigences de la part des régulateurs de la confidentialité des données. Ces exigences deviennent de plus en plus élaborées et nuancées lorsqu’il s’agit de données utilisées dans des solutions et des scénarios basés sur l’IA. Cela signifie que les capacités traditionnelles de protection des données peuvent ne pas être suffisantes et nécessiter des mécanismes renforcés de classification, de protection et de surveillance, ainsi que des contrôles améliorés pour l’auditabilité et la surveillance.
Dans son 19e édition cette année, le rapport sur le coût d’une violation de données fournit aux responsables informatiques, de la gestion des risques et de la sécurité des données quantifiables et opportunes pour les guider dans leur prise de décision stratégique. Il aide également les équipes à améliorer la gestion de leurs profils de risque et de leurs investissements en matière de sécurité. Cette année, les statistiques fournissent des informations sur les expériences de 604 entreprises et de 3 556 dirigeants et responsables de la cybersécurité ayant subi une violation de données. Téléchargez une copie du rapport pour découvrir comment atténuer les risques à l’aide d’exemples concrets et de recommandations d’experts.