Par un hasard troublant, quelques jours après l’action en justice contre Heartland, le Ponemon Institute rendait à PGP Corp, son commanditaire, une étude portant sur les coûts effectifs d’une fuite de données. L’addition s’élèverait à près de 202 dollars par enregistrement compromis, valeur moyenne estimée en 2008, en nette hausse par rapport à l’année précédente (197 $). Depuis 2005, l’augmentation de ce coût dépasse les 40%.
A noter cependant que ce n’est que depuis 2005 ou 2006 que se sont multipliées les lois d’Etat obligeant les entreprises défaillantes à rendre publique ce genre d’accident. La première disposition légale du genre est née en Californie il y a 5 ans à peine. Le vecteur de pertes financières le plus important serait, estime le Ponemon, essentiellement provoqué par le départ des clients échaudés par ce genre de mésaventure. Des chiffres à prendre avec beaucoup de prudence, la « volatilité » de la clientèle étant très variable d’un secteur à l’autre, et pratiquement inexistante dans le domaine bancaire compte tenu de la complexité et des tracasseries administratives d’un changement de compte. Les entreprises de commerce direct (en ligne ou traditionnel) ou de distribution sont plus directement touchées, preuve certaine que le public est à la fois informé et conscient des risques entrainés par de telles pertes.
Globalement, le coût total par incident s’est élevé à 6,65 Millions de dollars en 2008 (6,3 M$ en 2007). Les secteurs les plus sinistrés sont les organisations médicales (hôpitaux, mutuelles…) et les institutions financières –respectivement 6,5 et 5,5 % des cas, à comparer à une moyenne de 3,6%-. Dans 44% des cas, les fuites étaient provoquées par des « tierces parties », sous-traitants, intermédiaires etc. Ce sont également, compte tenu des coûts d’enquête, les cas qui reviennent le plus cher. Près de 84% des sinistres constatés sont survenus dans des organisations ayant déjà subi des accidents du même genre au cours de l’année… mais, l’expérience aidant, le prix d’une nouvelle perte se solde en moyenne aux environs de 192 $ par enregistrement… contre 243 dollars pour les entreprises qui font pour la première fois l’expérience de cette mésaventure. 88% des cas enregistrés en 2008 ont pour origine une négligence « interne ».
L’intégralité de l’étude peut être téléchargée contre « fuite de données personnelles » volontairement consenties, directement sur les serveurs du Ponemon.