Le coût d'une faille de sécurité d'un site WordPress
Publié: 2022-05-25Une faille de sécurité peut coûter cher. De nombreuses études et statistiques évaluent la moyenne d'une faille de sécurité à des millions de dollars. Ce chiffre, cependant, ne signifie pas grand-chose sans contexte. En effet, il peut être compliqué de dériver un coût moyen pour une faille de sécurité. Les complications proviennent du fait que de nombreux facteurs entrent en jeu. Les facteurs incluent les circonstances de la violation, son étendue et le type de données volées par les attaquants.
Les administrateurs WordPress et les propriétaires de sites Web pourraient être enclins à minimiser les risques d'une faille de sécurité. Après tout, il n'y a qu'un seul site Web à protéger, et c'est assez facile avec un mot de passe fort, n'est-ce pas ?
En réalité, les choses sont légèrement plus complexes. WordPress ne fonctionne pas dans le vide et doit s'appuyer sur d'autres systèmes pour fonctionner. Le nombre de systèmes qui relèvent de votre compétence dépend en grande partie de votre plan d'hébergement. Quoi qu'il en soit, il serait sage de reconnaître que différents systèmes existent et comportent un certain risque, aussi minime soit-il. Même les fournisseurs d'hébergement réputés subissent des violations, après tout.
Cet article répertorie les coûts les plus importants associés à une faille de sécurité, avec un accent particulier sur les sites Web et les administrateurs WordPress. Nous examinerons également les facteurs qui affectent généralement les coûts pour vous aider à comprendre quels sont vos risques et niveaux d'exposition si vous subissez une faille de sécurité.
Remarque : au cas où, lisez ce guide pour vérifier si votre site Web WordPress est piraté.
Les facteurs
Ce sont quelques-uns des principaux facteurs à prendre en compte lors de l'estimation du coût d'une faille de sécurité. Comme le montre la section ci-dessous, chaque facteur peut également avoir de nombreuses variables, qui peuvent largement faire varier les coûts réels. Dans tous les cas, ils représentent un bon point de départ.
Quel type de données a été compromis ?
Le premier facteur que nous devons prendre en compte est le type de données compromises. Cela est particulièrement vrai s'il s'agit de données personnelles. Si des données personnelles ont été volées, vous devrez également déterminer si elles appartiennent aux employés, aux clients ou aux deux, car cela aura un impact sur les coûts.
La prochaine chose que vous devrez examiner est le type de données personnelles qui ont été volées. Par exemple, si vous avez une boutique de commerce électronique et que les informations de carte de crédit ou les données de santé ont été compromises, cela ferait monter en flèche les coûts. Ces données sont très personnelles et peuvent avoir des répercussions négatives sur les personnes concernées par la faille de sécurité.
Combien de personnes ont été touchées ?
Le nombre de personnes touchées par la violation aura également un impact sur le coût. Certaines obligations légales et de conformité entrent également en vigueur une fois qu'un seuil est dépassé ; cependant, cela varie d'une juridiction à l'autre.
Comment la rupture s'est-elle produite ?
Comprendre comment la violation s'est produite est un autre facteur crucial qui peut contribuer au coût. Cela aidera à déterminer si la violation était due à une négligence ou non. Si la négligence a joué un rôle dans l'infraction, les coûts ont tendance à augmenter.
Est-ce le premier incident ?
Les incidents ultérieurs ont tendance à coûter plus cher que les premières infractions. Les deux principaux facteurs de coût ici sont les amendes et les coûts de réputation.
Fera-t-il l'actualité ?
Si la faille de sécurité est susceptible de faire l'actualité, vous pouvez vous attendre à ce que les coûts augmentent selon qu'elle touchera l'actualité régionale, locale, nationale ou internationale.
Où êtes-vous basé?
L'emplacement de l'entreprise ou de l'entité qui gère le site Web aura également un impact direct sur les coûts. Cela est principalement dû aux exigences légales et/ou aux obligations que la loi de la juridiction impose dans de tels cas.
Frais
Maintenant que nous avons couvert les facteurs, nous pouvons examiner les coûts les plus importants généralement associés à une violation de données.
Juridique
Un avocat et, dans certains cas, un coach en violation sont des acteurs essentiels qui aident les entreprises et les administrateurs WordPress à naviguer dans les ramifications souvent complexes d'une violation de données. Ils sont également utiles en cas d'amendes, de poursuites judiciaires potentielles et de nombreux autres coûts associés à une violation de données.
Médecine légale
Les équipes médico-légales aident à déterminer les voies à suivre. Si vous avez une boutique de commerce électronique telle que WooCommerce, vous pouvez également vous attendre à ce que les porteurs de cartes demandent à une équipe médico-légale spécialisée d'évaluer ce qui s'est passé. Les coûts sont souvent supportés par l'entreprise qui a subi la violation.
RP et gestion de crise
Selon l'ampleur de la violation, une équipe de gestion de crise et une personne ou une équipe de relations publiques peuvent aider à contenir les retombées. La vérité est qu'une violation peut entraîner une atteinte à la réputation et une perte de revenus à long terme, c'est pourquoi il est essentiel de contrôler.
Notification de violation
La notification de violation est une obligation légale aux États-Unis. Les règles varient selon l'état et l'étendue de la violation.
Service client
Dans de nombreux cas, les entreprises sont tenues de fournir à leurs clients un numéro de téléphone gratuit qu'ils peuvent appeler pour obtenir plus d'informations sur la violation. Ici, vous devez déterminer si vous disposez d'une capacité existante pour de tels appels ou si vous devez l'externaliser.
Surveillance du crédit
Dans certaines juridictions, les entreprises sont tenues de fournir aux clients dont les données ont été volées des services de surveillance du crédit, garantissant ainsi qu'ils ne subissent pas de fraude. Même ainsi, il est toujours recommandé d'offrir un tel service et cela peut atténuer les dommages à la réputation subis par la violation.
Amendes
Les amendes peuvent prendre toutes les formes et toutes les tailles. Ils dépendent principalement de la juridiction dans laquelle vous résidez, de l'étendue de la violation, du type de données compromises et du secteur dans lequel vous opérez. Par exemple, les violations de données dans l'UE peuvent être passibles d'amendes RGPD, pouvant aller jusqu'à 4 % des revenus. Aux États-Unis, les violations de la loi HIPAA sont poursuivies par le procureur général de l'État et l'OCR. Des amendes PCI peuvent également être imposées en cas de vol de données de carte de crédit.
Poursuites
Environ 5 % des violations signalées aboutissent à une forme de litige ; cependant, plusieurs facteurs doivent être pris en compte ici. Bien sûr, les avocats sont la meilleure ressource pour offrir une orientation ici ; cependant, il convient de garder à l'esprit.
Mieux vaut prévenir que guérir
Une violation de données entraîne de nombreux coûts coûteux. Certains coûts sont immédiats et directs ; d'autres sont à long terme et difficiles à évaluer, comme la perte de revenus due à une atteinte à la réputation. Dans de nombreux cas, les coûts d'une violation de données peuvent être suffisamment élevés pour anéantir une entreprise. Heureusement, il existe une solution plus simple.
Il est important de reconnaître que les infrastructures informatiques sont souvent complexes et que les violations peuvent être déclenchées à partir de n'importe quel point, parfois même de l'intérieur. En tant que tel, une politique de sécurité WordPress complète est d'une importance cruciale ; un qui comprend l'évaluation et l'atténuation des risques, ainsi qu'un plan sur la façon dont les violations sont traitées.
De plus, bien que ce ne soit pas tout à fait la solution miracle, l'authentification à deux facteurs est très proche. Considère ceci. 81% des violations sont effectuées grâce à l'utilisation d'informations d'identification volées. MFA arrête environ 99,9 % de ces attaques, ce qui vous aide à éliminer un grand pourcentage de risques grâce à une seule technologie.
De grandes entreprises, dont Google et Microsoft, soutiennent 2FA, reconnaissant son efficacité dans la réduction des risques. En tant qu'administrateur WordPress ou propriétaire de site Web, vous pouvez également tirer parti de 2FA pour améliorer votre sécurité avec WP 2FA - un plugin 2FA facile à installer et à gérer qui est fourni avec certaines des fonctionnalités les plus avancées et les plus complètes qui soient.
Commencez dès aujourd'hui avec un essai sans risque de 14 jours.