Sécurité de l’information - Violations de données et prévention
Les entreprises, les organisations et les agences souffrent sérieusement de violations de données et alors que les technologies s’améliorent le nombre d’incidents augmente. Les types d’incidents peuvent être répartis entre :
- défaillance du système et corruption des données ;
- infection par virus ou logiciel malveillant ;
- fraude informatique ; ou
- attaques par des tiers non autorisés.
Les entreprises n’ayant pas mis en place un système de gestion de la sécurité de l’information pourraient être victimes de l’un (ou plusieurs) des incidents mentionnés ci-dessus, ayant comme conséquence de lourdes pertes financières importantes. Les attaques ne font aucune distinction et ne prennent pas en compte la taille ou le type d’entreprises. Un rapport de RAND Europe montre qu’une petite entreprise sur six a été victime d’attaques de hackers et que les banques et institutions financières ont été ciblées par des tiers non autorisés, menant à des semaines d’enquête afin de résoudre le problème au prix de milliers d’euros. Si une organisation ne subit aucune perte financière du fait de l’attaque, elle pourrait tout de même devoir payer des dizaines de milliers d’euros en compensation suite aux plaintes de clients liées à une attaque DDoS ou en reprenant tout simplement ses activités. Elle pourrait également subir une médiatisation négative pouvant durer longtemps après l’attaque.
La plupart du temps, les pires violations de données engendrent des pertes financières importantes du fait de la perte d’actifs. Provenant du rapport de RAND Europe mené en 2013, le tableau ci-dessous résume les coûts des incidents auxquels les entreprises ont dû faire face ces deux dernières années, alors que les coûts ont dépassé les 4.15 milliards d’euros.
Coût
|
Coût minimal en €
|
Coût minimal en % du PIB EU
|
|
Coût total estimé d’attaques malveillantes visant des PME
|
562 millions
|
0.004
|
|
Coût total estimé de tous les incidents (y compris logiciels et matériels) visant des PME
|
2.3 milliards
|
0.017
|
|
Coût total estimé d’attaques malveillantes visant toutes les entreprises sauf les micro-entreprises
|
935 millions
|
0.007
|
|
Coût total estimé de tous les incidents (y compris logiciels et matériels) visant toutes les entreprises sauf les micro-entreprises
|
4.15 milliards
|
0.032
|
L’absence d’un ISMS sécurisé peut vous exposer à des attaques telles que les cyber-menaces et violations de données. Si vous êtes victimes de ces attaques, vous risquez de devoir payer de lourdes amendes et de subir des répercussions importantes sur votre image de marque ce qui engendrerait une perte de confiance de la part de vos clients.
Lectures recommandées :
CyberWar, CyberTerror, CyberCrime - Comprenez les risques liés aux cybercrimes et apprenez-en plus sur les mesures que votre entreprise peut mettre en place.
Téléchargez notre Livre Vert gratuit sur la sécurité de l’information et la norme ISO 27001
Ce Livre Vert contient une présentation sur la norme ISO 27001 et la sécurité de l’information et est idéal pour les personnes débutant dans ce domaine.
Télécharger notre Livre Vert sur la sécurité de l'information et la norme ISO 27001 >>
Sécurité de l’information et évaluation des risques
L’évaluation des risques et au cœur de la gestion de la sécurité de l’information.
Un système de gestion de la sécurité de l’information (ISMS) conforme aux critères de rejet et d’acceptation des risques est un outil de gestion puissant lorsqu’il est associé à la certification d’une tierce partie. Les organisations peuvent utiliser l’évaluation des risques afin de détecter les menaces potentielles auxquelles les systèmes d’information peuvent devoir faire face. Mener une analyse des risques permet de répondre aux risques identifiés et de mettre en place les contrôles appropriés afin de limiter le niveau de risque.
Logiciel d’évaluation des risques
Mener une évaluation des risques est un élément clé de la mise en place d’un ISMS conforme à la norme ISO 27001. Cependant, mener une telle évaluation des risques sans les outils adaptés à sa disposition peut s’avérer être une tâche difficile.
vsRisk est un logiciel dédié créé dans le but de guider votre organisation afin de répondre aux exigences ISO 27001 liées aux processus d’évaluation des risques.
vsRisk automatise le processus d’évaluation des risques en vous aidant à identifier, analyser et contrôler les risques auxquels vous faites face.
En savoir plus sur vsRisk et télécharger la version d'essai >>
Vous serez peut-être intéressé par :
Discuter avec un expert
Vous avez besoin d’aide et de conseils ? Nous sommes là pour vous aider. Demander à l’un de nos experts ISO 27001 de vous rappeler ou contacter notre service client pour plus d’informations.