Nous sommes désolés, mais votre navigateur n'est pas pris en charge par Marsh.com

Pour une utilisation optimale, veuillez installer un navigateur pris en charge :

X

Risques en contexte

Cyberviolations : l’impréparation peut coûter jusqu’à 5 fois plus cher

PUBLIÉ PAR Julien Ducloy 17 Octobre 2016

Votre entreprise a-t-elle analysé les répercussions financières potentielles d’une atteinte importante à la confidentialité de l’information/à la protection des données? Combien une violation importante pourrait-elle coûter? La réponse dépend de l’efficacité de votre programme de cybersécurité et sur l’état de préparation de votre entreprise lorsqu’elle doit réagir à l’inévitable.

Là où la préparation est payante… l’improvisation ne l’est pas

Notre équipe de recherche sur la quantification des cyberrisques a révélé que pour les entreprises dont les mesures de cybersécurité/de préparation pour réagir à des incidents sont naissantes ou immatures, un incident d’atteinte à la protection des données en Amérique du Nord coûte jusqu’à cinq fois plus cher qu’à leurs entreprises homologues qui ont en place des pratiques plus rigoureuses.

Les coûts liés à une atteinte à la protection des données – particulièrement les coûts liés aux services de TI et à l’enquête juridique, aux services d’intervention en situation de crise, à l’interruption des activités, aux mesures correctives, aux dommages-intérêts, à la défense, au règlement de réclamations, ainsi qu’aux amendes et aux pénalités – peuvent varier considérablement en fonction de ce qui suit :

  • Le temps qui s’est écoulé avant que la violation soit découverte. Plus le temps passe, plus il y a de risque que des dommages soient causés à l’interne par l’atteinte aux systèmes d’information, ou à l’externe par l’utilisation non autorisée des données.
  • La capacité de l’entreprise à gérer le risque. En général, une réaction et une résolution tardives entraînent une érosion de la confiance des personnes et des parties prenantes concernées et une intensification de la surveillance réglementaire et des enquêtes, ce qui mine encore plus la crédibilité et la réputation commerciale d’une entreprise.
  • L’accès à des services d’intervention de crise suivant une violation, offerts par des fournisseurs indépendants et des partenaires d’affaires. Trouver des fournisseurs de services en temps de crise peut retarder le temps de réaction d’une entreprise et l’empêcher de négocier un meilleur prix compte tenu de l’urgence de la situation.
  • La longueur et la complexité de la défense juridique. Un manque de préparation et des incohérences dans les communications contribuent souvent à renforcer la position du plaignant, et même à augmenter le montant du règlement, des amendes ou des pénalités.
  • Le nombre de territoires de compétence concernés. Plus il y a de territoires de compétence concernés, plus la complexité augmente, et par le fait même, plus la durée requise pour permettre à vos conseillers de résoudre les problèmes augmente.
  • L’endroit où résident les personnes touchées par l’atteinte à la protection des données. Les frais juridiques et réglementaires sont plus élevés aux États-Unis en raison de l’environnement litigieux, de la multitude d’organismes de réglementation, des amendes plus élevées, ainsi que l’ensemble disparate d’exigences de notification d’un État à un autre, ce qui complexifie encore plus l’intervention. Par contraste au Canada, ce sont les coûts de notification, de protection de l’identité et de surveillance du crédit qui sont généralement deux fois plus élevés, ce qui est le résultat d’un marché moins mature.
  • Si l’entreprise est jugée avoir été négligente. La non-conformité réglementaire, des pratiques médiocres en matière de cybersécurité, des incohérences entre les politiques et procédures organisationnelles déclarées par rapport à celles qui sont réellement mises en œuvre lors d’un incident… Dans ces situations, les juges et les organismes de réglementation sont plus susceptibles d’imposer des dommages-intérêts punitifs, des sanctions, des pénalités et des amendes.

Ou, comme l’a dit de manière succincte un collaborateur de Marsh qui fournit de l’encadrement en matière de cyberviolation, « la gestion d’une cybercrise ne peut pas être traitée comme un projet de bricolage ».

En mettant au point à l’échelle de l’entreprise des pratiques de cybersécurité et d’intervention en cas d’atteinte à la protection des données adaptées à ses propres activités et à ses menaces potentielles, une entreprise qui subit une atteinte majeure à la protection de ses données sera prête à réagir promptement et de façon mûrement réfléchie. Ensemble, ces éléments vous aideront à réduire considérablement les coûts directs et indirects d’un incident d’atteinte à la protection des données.

Julien Ducloy

Spécialiste de la gestion des risques depuis plus de 12 ans, Julien a commencé sa carrière au service de gestion des risques d’un grand aéroport parisien. À la suite de cette expérience, il a occupé divers postes dans le domaine de l’évaluation des risques au sein de cabinets d’audit et d’expertise-conseil. Julien a joint Marsh Évaluation des risques en 2008 et a formé le groupe d’expertise en gestion des risques d’entreprise, qui se concentrait plus particulièrement sur l’exposition aux risques technologiques et aux cyberrisques.