Dans 90 % des incidents les pertes moyennes sont inf\u00e9rieures \u00e0 la moyenne arithm\u00e9tique.<\/p><\/blockquote>\n
Si nous faisons r\u00e9f\u00e9rence aux pertes auxquelles une entreprise moyennes s\u2019expose, alors il vaut mieux prendre en compte d\u2019autres indicateurs. Il s\u2019agit notamment de la m\u00e9diane (le nombre qui divise l\u2019\u00e9chantillon en deux parties \u00e9gales de mani\u00e8re \u00e0 ce que la moiti\u00e9 des chiffres soit sup\u00e9rieure et l\u2019autre moiti\u00e9 soit inf\u00e9rieure) et de la moyenne g\u00e9om\u00e9trique (une moyenne proportionnelle). La plupart des entreprises ne souffrent que de ces pertes. La moyenne arithm\u00e9tique peut donner un nombre tr\u00e8s d\u00e9routant \u00e0 cause d\u2019un petit nombre d\u2019incidents p\u00e9riph\u00e9riques et de pertes anormalement importantes.<\/p>\n
![Distribution des pertes suite \u00e0 des incidents de fuite de donn\u00e9es. <a href=\"https:\/\/www.cyentia.com\/wp-content\/uploads\/IRIS2020_cyentia.pdf\" target=\"_blank\" rel=\"nofollow\">Source<\/a>](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/93\/2020\/08\/21123216\/black-hat-2020-risk-assessment-distribution.png\")
Distribution des pertes suite \u00e0 des incidents de fuite de donn\u00e9es. Source<\/a><\/p><\/div>\n Un autre exemple de \u00ab\u00a0moyenne\u00a0\u00bb discutable d\u00e9coule de la m\u00e9thode qui, pour calculer les pertes engendr\u00e9es par des fuites de donn\u00e9es, multiplie le nombre de bloc de donn\u00e9es affect\u00e9s par la somme moyenne des d\u00e9g\u00e2ts caus\u00e9s par la perte d\u2019un ensemble de donn\u00e9es. La pratique a montr\u00e9 que cette m\u00e9thode sous-estime les pertes caus\u00e9es par les petits incidents et surestime fortement celles des grands incidents.<\/p>\n Voici un exemple. Il y a quelque temps de cela, de nombreux sites analytiques ont partag\u00e9 une information qui soutenait que certaines entreprises avaient perdu plus de 5 milles milliards de dollars \u00e0 cause d\u2019une mauvaise configuration des services Cloud. Si vous recherchez l\u2019origine de cette somme astronomique, il ne fait aucun doute que ce nombre de 5 milles milliards a \u00e9t\u00e9 obtenu en multipliant tout simplement le nombre de blocs \u00ab\u00a0divulgu\u00e9s\u00a0\u00bb par le co\u00fbt moyen de la perte d\u2019un bloc de donn\u00e9es (150 dollars). Cette valeur a \u00e9t\u00e9 communiqu\u00e9 par le Ponemon Institute dans son rapport intitul\u00e9 \u00ab\u00a02019 Cost of a Data Breach Study\u00a0\u00bb<\/em>.<\/p>\n Pourtant, cette histoire devrait \u00eatre assortie de plusieurs mises en garde. Tout d\u2019abord, l\u2019\u00e9tude n\u2019a pas pris en compte tous les incidents. Ensuite, m\u00eame lorsque l\u2019on ne consid\u00e8re que l\u2019\u00e9chantillon utilis\u00e9, la moyenne arithm\u00e9tique ne permet pas d\u2019avoir une id\u00e9e pr\u00e9cise des pertes. Elle n\u2019inclut que les cas de blocs dont la perte aurait un co\u00fbt inf\u00e9rieur \u00e0 10 000 dollars et sup\u00e9rieur \u00e0 1 centime. De plus, la m\u00e9thodologie de cette \u00e9tude montre clairement que la moyenne ne s\u2019applique pas aux incidents ayant engendr\u00e9 la perte de plus de 100 000 blocs. Par cons\u00e9quent, en multipliant le nombre total de blocs de donn\u00e9es divulgu\u00e9s, apr\u00e8s avoir mal configur\u00e9 les services Cloud, par 150 nous obtenons un r\u00e9sultat fondamentalement incorrect.<\/p>\n Si cette m\u00e9thode cherche \u00e0 obtenir une v\u00e9ritable \u00e9valuation des risques, elle doit inclure un autre indicateur\u00a0: la probabilit\u00e9 des pertes selon l\u2019ampleur de l\u2019incident. Cela ressemblerait \u00e0 ce qui suit\u00a0:<\/p>\n D\u00e9pendance de la probabilit\u00e9 des pertes selon le nombre de blocs de donn\u00e9es affect\u00e9s par l\u2019incident. Source<\/a><\/p><\/div>\n Un autre facteur souvent n\u00e9glig\u00e9 dans le calcul du co\u00fbt d\u2019un incident est que les fuites de donn\u00e9es actuelles nuisent g\u00e9n\u00e9ralement aux int\u00e9r\u00eats de plusieurs entreprises. Dans de nombreux cas, les d\u00e9g\u00e2ts totaux encourus par les entreprises tierces (associ\u00e9s, sous-traitants et fournisseurs) sont sup\u00e9rieurs aux d\u00e9g\u00e2ts que conna\u00eet l\u2019entreprise dont les donn\u00e9es ont \u00e9t\u00e9 divulgu\u00e9es.<\/p>\nCo\u00fbt moyen d\u2019un bloc de donn\u00e9es divulgu\u00e9<\/h2>\n
![\"D\u00e9pendance](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/93\/2020\/08\/21123516\/black-hat-2020-risk-assessment-probability.png\")
L\u2019effet de ricochet<\/h2>\n