Les chiffres suivants sont à prendre avec du recul : ils proviennent de deux études réalisées par un cabinet spécialisé (l’Institut Ponemon ) mais financées respectivement par Intel et Dell. Toutefois si les coûts avancés sont sujets à discussion et peuvent parfois sembler sortis d’un chapeau magique, la question du chiffrage de ces pertes mérite, elle, que l’on s’y intéresse.

Alors, combien coûte à l’entreprise un ordinateur portable perdu ? Tout dépend à qui l’on pose la question. Si l’on demande aux responsables de la perte, ce n’est pas grand chose. Près de la moitié (49%) des employés interrogés estiment que le matériel égaré est de valeur égale (15%) ou plus importante (34%) que les données qu’il contient.

Si l’on prend en revanche en compte tous les frais induits par la perte, l’étude de l’Institut Ponemon (138 cas réels étudiés aux Etats-Unis) révèle que le coût moyen d’une perte de laptop s’élève à 49 246$, et peut grimper jusqu’à 115 000$ pour le cas le plus onéreux parmi ceux étudiés.

Pour en arriver à un tel chiffre, l’Institut Ponemon se base sur sept métriques : le coût du remplacement de l’ordinateur, de l’identification de l’incident, du forensics éventuel, des données perdues, les coûts associés à la perte de propriété intellectuelle, à la baisse de productivité et aux obligations juridiques et réglementaires.

De tout ces critères, celui de l’impact de la fuite de données (data breach) serait le plus lourd : il compterait pour 80% du coût total de l’incident selon Ponemon, qui se base pour cela sur une autre de ses études (Fourth Annual Cost of a Data Breach Study).

Si l’on exclue la fuite de données, c’est alors la perte de la propriété intellectuelle qui pèse le plus lourd (59%). La baisse de productivité liée à la disparition de l’ordinateur, elle, ne compte que pour 1% du coût total, et peut donc être ignorée.

Mais attention : tous les ordinateurs portables ne sont pas égaux devant la perte. Contrairement à ce que l’on pourrait croire, ce n’est pas les ordinateurs des PDG et autres cadres dirigeants qui ont le plus de valeur en cas de disparition (28 449$) mais ceux des managers (60 781$) et des directeurs (61 040$). Une tentative d’explication de ce phénomène serait que les ordinateurs des PDG sont plus souvent chiffrés ou leur perte signalée plus rapidement.

Car le délai écoulé entre l’égarement du laptop et le signalement de l’incident influe sur le coût. Annoncée dans la journée même, le coût de la disparition peut tomber à 9000$, tandis qu’au delà d’une semaine écoulée, on se situe dans les évaluations les plus élevées.

Du côté de chiffrement, l’étude de l’Institut Ponemon montre qu’une solution de chiffrement déployée sur l’ordinateur peut réduire de 20 000$ le coût de l’incident. Pourquoi pas plus, voire totalement ? Peut-être parce que les solutions de chiffrement au niveau des fichiers sont plus répandues que celles de chiffrement complet du disque dur (FDE, pour Full Disk Encryption), et qu’elles couvrent un périmètre moins large ou moins bien étudié.

Un point étonnant relevé par l’étude concerne la présence de backups : si la machine perdue est entièrement backupée, le coût de sa perte se révèle largement supérieur (70 000$, contre 39 000$ si aucun backup n’est disponible). Comment expliquer ce phénomène ? Là aussi ce n’est qu’une supposition : sans savoir ce que contenait la machine volée l’entreprise n’entre pas en mode « panique ». A l’inverse la présence de sauvegardes complètes permet de se rendre compte plus précisément de ce qui a été perdu et son coût est immédiatement évaluable.

Ces montants astronomiques ne sont pas sans rappeler les millions de dollars de dégâts estimés pour certaines attaques virales durant les années 2003-2004 : on peut discuter à loisir de leur pertinence et du choix des critères retenus (par exemple, la différence entre la fuite de données et la perte de propriété intellectuelle). Et surtout, on peut critiquer les montants eux-mêmes, qui semblent faramineux : beaucoup d’entreprises auront certainement du mal à imaginer que l’ordinateur portable de leur commercial vaut plus de cent mille dollars à cause des quelques grilles de tarifs sous Excel qu’il contient.

Mais c’est en revanche une excellente occasion de se pencher sur la formalisation d’une métrique d’évaluation de l’importance des données présentes sur les ordinateurs portables de l’entreprise, qui soit propre à cette dernière. Une métrique qui pourra certes servir, en dernier recours, à évaluer le coût de tels incidents. Mais qui pourra surtout avant cela orienter dans la mise en oeuvre de mesures défensives adaptées aux différentes familles d’utilisateurs mobiles.

Une dernière statistique de l’étude permettra enfin peut-être de relativiser les pertes de machines : selon Ponemon, 80% des ordinateurs égarés le sont réellement, sans malveillance. Seuls 20% d’entre eux seraient volés pour en dérober le contenu. De quoi peut-être pondérer une étude de risque ou réduire le coût estimé d’une perte de machine ?