Qu'est-ce qu'une violation de données ?

Une violation de données, ou data breach en anglais, est un incident de cybersécurité au cours duquel des informations sensibles, confidentielles ou protégées sont consultées, vues, volées, modifiées ou utilisées par une personne ou entité non autorisée.

Les violations de données peuvent survenir en raison de diverses attaques informatiques, telles que le piratage, les fuites internes, la fraude par carte de paiement, les attaques de logiciels malveillants, la perte ou le vol de dispositifs physiques, des divulgations involontaires, ou d’autres raisons inconnues.

Les types de données volées lors d’une violation peuvent inclure des numéros de carte de crédit, des données clients, des secrets commerciaux, des dossiers médicaux, des informations financières, des informations personnellement identifiables (PII), ou des questions liées à la sécurité nationale.

Les violations de données peuvent toucher des entreprises de toutes tailles, de tous secteurs et de toutes régions, se produisant avec une fréquence alarmante. Elles ont des conséquences graves pour les entreprises, qui font face à des amendes coûteuses dues aux violations de conformité, à des litiges, et des dommages à long terme pour leur image de marque.

Pour que les violations de données soient les plus lucratives, les attaquants recherchent des informations personnellement identifiables (PII).

Les petites entreprises pourraient penser qu’elles ne sont pas une cible en raison de leur taille, mais c’est là qu’elles se trompent. En réalité, les petites entreprises peuvent être une cible plus intéressante qu’une grande entreprise dotée de défenses efficaces en cybersécurité.

Pour cette raison, la cybersécurité devrait être une priorité accrue, même pour les petites et moyennes entreprises.

Les violations de données peuvent survenir de différentes manières :

• Piratage ou attaques de malware : ce sont les méthodes les plus courantes de violations de données. Les attaquants utilisent des techniques telles que le phishing, l’ingénierie sociale, les attaques par force brute, ou l’exploitation de vulnérabilités dans les logiciels ou les systèmes pour obtenir un accès non autorisé à des données sensibles.
• Fuites internes : un utilisateur de confiance ou une personne disposant d’un accès privilégié peut abuser de ses droits pour voler ou compromettre des données. Les motivations derrière les menaces internes peuvent inclure un gain financier, une vengeance, ou il peut s’agir d’actions involontaires.
• Fraude par carte de paiement : les données de cartes de paiement sont volées à l’aide de dispositifs d’escroquerie physique ou d’autres méthodes.
• Perte ou vol : des ordinateurs portables, des ordinateurs de bureau, des disques durs portables, des fichiers et d’autres actifs physiques peuvent être perdus ou volés.
• Divulgation involontaire : des données sensibles peuvent être exposées en raison d’erreurs, de maladresses et de négligence de la part des utilisateurs.
• Sécurité inadéquate : les faiblesses au niveau de la technologie, du comportement des utilisateurs, et des informations d’identification faibles sont parmi les raisons courantes des violations de données.
• Raisons inconnues : dans un petit nombre de cas, la raison réelle d’une violation de données peut être inconnue.

Les violations de données peuvent se produire en ligne ou hors ligne, et les pirates peuvent utiliser des canaux tels qu’Internet, Bluetooth, les SMS ou les services en ligne pour accéder à des données sensibles.

Les informations des clients ne sont pas la seule cible d’un attaquant. Les données volées peuvent conduire à des attaques plus sophistiquées.

Par exemple, les informations d’identification volées lors d’une campagne de phishing peuvent permettre un accès autorisé et privilégié à des données sensibles.

Les cibles lors d’une violation de données incluent :

• Les mots de passe faibles : même si les mots de passe sont chiffrés, des chiffrements obsolètes ou des mots de passe vulnérables aux attaques par dictionnaire peuvent être utilisés dans des menaces futures.
• Les informations d’identification volées : le phishing, le spear phishing et le whale phishing ciblent les utilisateurs pour voler des informations d’identification et d’autres informations sensibles.
• Les actifs compromis : accéder aux informations d’identification, déployer des logiciels malveillants ou exploiter des applications permettant un accès non autorisé peut permettre à un attaquant d’exfiltrer silencieusement des données.
• Les informations d’entreprise : les données confidentielles de l’entreprise, telles que les listes de clients, le code source, la propriété intellectuelle et les données des employés, peuvent être des cibles précieuses lors d’attaques de violation.
• Les données de santé personnelles : les organisations de santé avec des mesures de sécurité faibles et une conformité à la HIPAA insuffisante peuvent être vulnérables à des violations de données impliquant des dossiers médicaux, des informations sur l’assurance santé, les numéros de sécurité sociale et d’autres données personnelles.
• Les informations de carte de crédit : les dispositifs d’escroquerie et le phishing ciblent les utilisateurs pour obtenir leurs informations de carte de crédit.
• Les informations d’identification et d’accès de tiers : l’accès par le biais d’un tiers, tel qu’un fournisseur ou un sous-traitant externe, est une stratégie utilisée par les attaquants.
• Les appareils mobiles : la sécurité des points d’extrémité est plus importante que jamais, car les appareils mobiles peuvent être une passerelle vers le réseau local et vos données.

Contrairement à d’autres attaques, une violation de données ne peut pas être résolue avec une simple mise à jour logicielle. Elle déclenche généralement des efforts pour renforcer l’infrastructure de cybersécurité du réseau, mais même dans ce cas, les dommages sont déjà faits.

Les violations de données peuvent entraîner des dommages substantiels tant pour les individus que pour les entreprises, notamment :

• Perte financière : l’impact financier d’une violation de données peut être immédiat et dévastateur pour les entreprises. Le coût d’une violation de données a augmenté ces dernières années et comprend le coût de l’enquête, de la remédiation et des frais juridiques. Selon le Coût d’une violation de données en 2022, le coût moyen d’une violation de données aux États-Unis était de 9,44 millions de dollars.
• Dommages à la réputation : les dommages à la réputation résultant d’une violation de données peuvent être dévastateurs pour une entreprise. Les clients et les fournisseurs peuvent cesser toute activité avec les entreprises qui ont été victimes d’une violation. De plus, ils peuvent partager leur expérience avec d’autres, y compris sur les réseaux sociaux.
• Interruption opérationnelle : une violation de données peut entraîner une interruption opérationnelle significative, entraînant une perte de productivité et de revenus pour les entreprises. Selon le processus de remédiation, cette interruption peut être très coûteuse.
• Actions en justice : les entreprises qui subissent une violation de données peuvent faire l’objet de poursuites judiciaires de la part des individus affectés, des organismes de réglementation ou d’autres parties prenantes.
• Perte de données sensibles : une violation de données peut entraîner la perte de données sensibles, y compris des informations personnelles, des informations d’entreprise et de la propriété intellectuelle.
• Dommages consécutifs : les dommages consécutifs découlant d’une violation de données peuvent inclure des pertes de bénéfices ou des dommages à la réputation, qui peuvent être difficiles à estimer au moment de la violation.
• Dommages d’atténuation : les dommages d’atténuation peuvent inclure le coût de la surveillance du crédit, de la protection contre le vol d’identité et d’autres mesures prises pour atténuer les effets de la violation.

La gravité d’une violation de données dépend de la cible spécifique. Bien qu’elle puisse être dévastatrice pour les individus, les violations de données peuvent coûter des millions de dollars aux entreprises et avoir un impact négatif sur les revenus à long terme.

Les trois entités principales touchées par les violations de données sont :

• Les entreprises : une entreprise victime d’une violation de données pourrait perdre de l’argent en frais de litige et de réparation, mais le dommage le plus important réside dans la réputation de la marque. Target, Equifax et Yahoo sont bien connus pour leurs violations de données. Cela leur a coûté des millions en termes de confiance des consommateurs perdue et de dommages à la marque.
• Le gouvernement : les secrets militaires, les secrets commerciaux gouvernementaux et le personnel infiltré sont en danger si un attaquant compromet l’infrastructure gouvernementale.
• Les individus : pour les individus, le risque financier le plus important est le vol d’identité. Les données individuelles pourraient être vendues sur des marchés clandestins ou utilisées immédiatement pour ouvrir des lignes de crédit, acheter des produits ou créer des comptes frauduleux.

Lorsque l’on pense aux violations de données, on pense généralement à un hacker compromettant un réseau et volant des données.

Cependant, les violations de données peuvent résulter de plusieurs actions différentes. L’erreur humaine, par exemple, est l’un des facteurs les plus significatifs dans les violations de données.

Parmi les différents types de violations de données, on peut citer :

• Stockage de données d’identification dans le code source : les développeurs commettent souvent l’erreur courante de laisser des données d’identification ou des clés d’accès dans les référentiels de code. Les attaquants recherchent ces informations dans les référentiels publics sur GitHub pour les trouver.
• Systèmes d’authentification ou d’autorisation exploités : les applications présentant des vulnérabilités ou toute infrastructure de cybersécurité comportant des bugs pourraient permettre à un attaquant de gagner un accès non autorisé.
• Écoute clandestine : le trafic non chiffré sur un réseau est vulnérable à l’interception et à l’écoute clandestine.
• Erreur humaine : la négligence ou un employé mécontent pourrait délibérément ou accidentellement divulguer des données en tombant dans le piège du phishing ou de l’ingénierie sociale.
• Malware : ces programmes sont conçus pour infecter l’ordinateur d’une victime et voler des informations sensibles.
• Ransomware : il s’agit d’un type sophistiqué de malware qui chiffre les fichiers d’une victime et exige un paiement de rançon en échange de la clé de déchiffrement.
• Keyloggers : connu sous le nom de keyloggers, ce type de malware peut être conçu pour enregistrer les frappes d’un utilisateur, permettant à l’attaquant de capturer des informations sensibles telles que les mots de passe.
• Phishing : cette forme d’ingénierie sociale consiste à tromper les utilisateurs pour qu’ils révèlent des informations sensibles, telles que les informations d’identification de connexion ou les numéros de carte de crédit, ce qui peut entraîner une violation de données.
• Piratage : si un attaquant parvient à accéder aux dispositifs des utilisateurs ou à compromettre l’infrastructure interne, il peut installer des malwares pour voler des données.
• Menaces internes : les employés actuels ou licenciés pourraient délibérément envoyer des données à un tiers ou les voler à des fins financières.
• Vol physique : les organisations sont vulnérables au vol de données lorsque des ressources locales, des dispositifs d’utilisateurs, des ordinateurs portables de travail et d’autres actifs physiques sont volés.

Les incidents de cybersécurité ont augmenté ces dernières années, mais ils ont explosé après la pandémie de COVID-19, lorsque de nombreuses organisations ont été contraintes de faire appel à des travailleurs à distance pour toutes les activités de productivité commerciale.

Ce changement a conduit à une augmentation des violations de données, les utilisateurs stockant des données sur leurs appareils personnels, et les organisations ouvrant des ressources cloud et une infrastructure interne accessible via VPN.

Voici quelques statistiques marquantes concernant les violations de données :

• L’impact de la COVID-19 sur les travailleurs à distance a augmenté les coûts des violations de données de 137 000 $ par incident.
• 76 % des organisations interrogées dans une enquête IBM ont indiqué que les travailleurs à distance avaient augmenté le temps nécessaire pour identifier et contenir une menace.
• Les experts ont recensé 192 000 attaques connues liées au Coronavirus, et les chiffres continuent d’augmenter.
• Les attaques ciblant les informations des patients dans le secteur de la santé ont augmenté de 58 %.
• Les exploits et les compromissions d’applications web ont doublé depuis 2019 et représentaient 43 % des attaques.
• Les prêts offerts par le gouvernement américain pour aider les petites entreprises ont entraîné des violations de données pour 8 000 d’entre elles.
• Symantec estime que 4 800 sites web sont compromis chaque mois en raison du clickjacking.
• Verizon estime que 71 % des violations de données sont motivées financièrement.
• En 2019, 36 % des violations de données étaient le fait de cybercriminels organisés.
• Il faut en moyenne 80 jours pour contenir une menace.
• Les organisations de soins de santé ont eu le plus de difficultés à contenir les menaces, mettant en moyenne 329 jours pour le faire.
• Microsoft Office est à l’origine de 48 % des pièces jointes de fichiers malveillants.
• Le coût moyen d’une violation de données dans le monde est de 3,86 millions de dollars.
• Le secteur des soins de santé paie les coûts les plus élevés après une violation de données, soit 7,13 millions de dollars par incident.
• La plupart des coûts liés à une violation de données surviennent un an après l’incident.
• Un employé du service clientèle d’un institut financier a accès à 11 millions d’enregistrements, ce qui fait de lui une cible potentielle pour l’ingénierie sociale et le phishing.
• 80 % des violations impliquent des attaques de force brute sur les mots de passe ou des informations d’identification volées.
• En 2020, les attaques par déni de service distribué (DDoS) ont augmenté de plus de 278 %.

Le coût d’une violation de données a considérablement augmenté au cours de la dernière année, principalement en raison de l’augmentation du travail à domicile. En 2015, le coût moyen d’une violation de données était de 3,8 millions de dollars. Aujourd’hui, le coût d’une violation de données s’élève à 14,8 millions de dollars.

Proofpoint a effectué des recherches sur les coûts liés à une violation de données et a constaté que des coûts collatéraux à long terme peuvent persister après les dépenses initiales. La perte de productivité due au personnel chargé de la réponse aux incidents et à d’autres employés en raison de l’indisponibilité se traduit par une estimation de 63 343 heures perdues pour faire face à une violation de données.

L’e-mail est un vecteur courant dans les attaques, et une compromission coûte aux grandes entreprises 6 millions de dollars par an. Certaines attaques utilisent l’e-mail et l’ingénierie sociale pour tromper les employés et leur faire payer environ 1,17 million de dollars en factures et transferts d’argent frauduleux.

Les ransomwares continuent d’évoluer et peuvent paralyser une entreprise. Beaucoup de ces attaques commencent par des messages électroniques. Certaines entreprises paient la rançon, mais seulement 790 000 dollars des 5,66 millions de dollars annuels dépensés proviennent du paiement de la rançon.

Le coût moyen pour les entreprises de résoudre une violation de données est de 807 506 dollars, une augmentation spectaculaire par rapport aux 338 098 dollars de 2015. Le vol d’identifiants par le biais du phishing représente une grande partie de ces coûts.

Dans l’ensemble, les logiciels malveillants et l’exfiltration de données représentent un coût estimé de 137 millions de dollars.

Les incidents cybernétiques se produisent tous les jours, mais certains se démarquent plus que d’autres.

Les violations de données, ou data breaches, impliquant des millions de registres ont le plus grand impact sur les consommateurs et l’entreprise ciblée.

Voici quelques-unes des plus récentes violations de données à grande échelle :

• En raison de configurations incorrectes de stockage cloud, un site web de réservation de voyages a révélé 10 millions de registres contenant des informations sur les clients d’hôtels, y compris les numéros d’identification nationaux, les informations de carte de crédit, les noms complets et les adresses e-mail.
• Une entreprise du secteur du divertissement et de la technologie a téléchargé par erreur 5 gigaoctets de données, révélant les informations de 1,4 million de collaborateurs et d’utilisateurs après une exploitation OAuth.
• 7,4 milliards de registres d’un journal français ont été révélés, contenant des données sur les employés et les abonnés après une exfiltration à partir du serveur de stockage cloud d’un fournisseur de confiance.
• En mars 2023, plus de 7 millions de registres d’utilisateurs de Verizon auraient été volés par des pirates informatiques et publiés sur Breached Forums, un forum de hackers populaire.
• Les données d’Uber ont été compromises en avril 2023, entraînant le vol d’informations personnelles de 57 millions d’utilisateurs et de 600 000 conducteurs.

Prendre en compte toutes les menaces, y compris les erreurs humaines, est un travail à plein temps et difficile pour les petites entreprises.

Cependant, les entreprises peuvent suivre des normes spécifiques et utiliser des stratégies courantes pour empêcher les attaques.

Il suffit d’un maillon faible pour entraîner une violation de données. Les stratégies doivent donc renforcer tous les aspects de l’organisation, y compris la formation et l’éducation en matière de cybersécurité du personnel.

Voici quelques bonnes pratiques pour protéger les données contre les violations :

• Toujours installer la dernière version du logiciel, en particulier les correctifs de sécurité.
• Utiliser un chiffrement cryptographiquement sécurisé pour le trafic réseau et le stockage.
• Mettre à jour les appareils avec les dernières mises à jour du système d’exploitation.
• Appliquer des politiques si les utilisateurs sont autorisés à apporter leurs propres appareils.
• Utiliser des politiques de mot de passe pour imposer la longueur et la complexité des mots de passe.
• Sensibiliser les employés aux signaux d’alerte du phishing, de l’ingénierie sociale et d’autres attaques.
• Adopter une défense cybernétique qui protège les données contre les menaces internes, la prise de contrôle de comptes et les applications web risquées.
• Les audits de sécurité réguliers aident à identifier les vulnérabilités et à prévenir les violations de données.
• Les pare-feu et les systèmes de détection d’intrusions aident à prévenir l’accès non autorisé aux informations sensibles.
• En mettant en place la gestion des privilèges d’accès (PAM), les entreprises devraient limiter l’accès aux informations sensibles uniquement aux personnes qui en ont besoin pour accomplir leurs tâches professionnelles.
• Les entreprises devraient surveiller l’accès des tiers aux informations sensibles et s’assurer que les fournisseurs disposent de solides mesures de sécurité en place.

L’assurance cyber aide à compenser les coûts en couvrant les dommages monétaires après un incident tel qu’un virus ou un déni de service (DoS). Mais même avec la meilleure infrastructure de cybersécurité, les entreprises ne seront jamais totalement à l’abri des risques.

L’assurance cyber aide à payer les coûts après un incident, en particulier lorsque l’entreprise est responsable de la perte de données. Par exemple, les entreprises de santé peuvent encourir de lourdes amendes pour la perte d’informations personnellement identifiables (PII).

Les contrats d’assurance varient d’un assureur à l’autre, de sorte que les entreprises doivent lire les termes avant de souscrire une assurance. Par exemple, un assureur peut exiger que l’entreprise soit en conformité et ait une infrastructure de cybersécurité spécifique installée pour rester assurée.

La sécurité est un élément clé de votre transformation vers une entreprise orientée vers le cloud. Pour défendre pleinement votre entreprise dans le cloud, vous devez aborder la protection contre les menaces, la sécurité des données et la gouvernance des applications.

Une solution de prévention des pertes de données (DLP) et de courtiers en sécurité d’accès au cloud (CASB) centrée sur les personnes tient compte des personnes les plus attaquées, de celles qui sont vulnérables aux attaques et de celles qui ont un accès privilégié aux données sensibles de l’entreprise.

Ce niveau de visibilité et de contrôle vous permet de repousser les menaces, de protéger vos actifs d’information et de rester conforme. Il protège vos actifs cloud les plus précieux et accélère votre migration vers le cloud.

Les solutions de Proofpoint comprennent :

• Proofpoint Data Loss Prevention : cette solution aide à identifier les configurations incorrectes et les lacunes en matière de prévention des pertes de données (DLP) en surveillant et en balayant ces problèmes. Elle aide les organisations à planifier correctement les catastrophes et à construire une infrastructure pour sécuriser les données contre les fuites de données non intentionnelles.
• Proofpoint Information Protection : cette solution aide à se protéger contre les erreurs accidentelles ou les attaques en fournissant des renseignements sur les menaces de premier plan intégrés dans votre DLP. Il vous permet de déterminer si vos informations ou données protégées sont en danger en raison d’un utilisateur dont le compte a été compromis ou est sur le point de l’être.
• Proofpoint Insider Threat Management : cette solution permet de se protéger contre les violations de données et les dommages ultérieurs à la réputation. Proofpoint corrèle l’activité et les mouvements de données, permettant aux équipes de sécurité d’identifier les risques liés aux utilisateurs, de détecter les violations de données dirigées par des initiés et d’accélérer la réponse aux incidents de sécurité. Elle aide à protéger votre propriété intellectuelle et vos collaborateurs des menaces internes dans toute l’organisation.

En utilisant les solutions de Proofpoint, les entreprises peuvent renforcer leur posture de sécurité et se protéger contre les data breaches.

Que ce soit pour rester conforme aux dernières exigences en matière de conformité ou pour organiser des formations de sensibilisation à la sécurité des employés, Proofpoint garantit que vos données sont protégées contre les malwares, les attaquants, l’espionnage d’entreprise, les ransomwares, le phishing et les nombreux risques associés aux actifs numériques.