L'étude baptisée « Etude annuelle 2009 : le coût des effractions de données en France » explique comment et surtout combien coute une perte informatique. Sur les 89 euros par dossier, 31 sont dévolus à la réparation de la vulnérabilité, le reste est nécessaire aux activités de détection et de reporting sur les incidents. Pour autant, la notification d'une effraction ne coute que 4 euros. Explications.
En France, la notification n'est pas obligatoire, pour autant l'étude menée explique que seulement dans 35% des cas, les entreprises avaient prévenu leurs clients dans un délai d'un mois. Pourtant, le 24 mars dernier, le Sénat avait adopté une proposition de loi visant à publier toute faille de sécurité avec obligation de notification à la Cnil. L'idée était en fait une conséquence de la directive européenne 2002/58/CE qui devra, un jour où l'autre, être transposée en droit français.
Une telle loi pourrait permettre aux entreprises de mieux cerner leurs problèmes de vulnérabilités mais aussi de savoir quelles sont les conséquences qu'elles courent en termes d'image. De même, une avancée intéressante serait celle d'encourager les internautes à alerter les autorités en cas de découverte d'une faille tout en le protégeant. Par exemple, la rédaction de Clubic a été informée d'une faille de sécurité sur un site d'un grand ministère français. Contacté à ce sujet, le ministère a comblé rapidement la faille sans aucun autre mot de remerciement. Dommage...