Une fuite de données est un incident de sécurité au cours duquel des acteurs internes malveillants ou des attaquants externes parviennent à accéder de façon non autorisée à des données confidentielles ou à des informations sensibles comme des dossiers médicaux, des informations financières ou des informations à caractère personnel. Les fuites de données font partie des incidents de cybersécurité les plus anciens et les plus coûteux. Elles touchent les entreprises de toute taille, de n’importe quel secteur, partout dans le monde, et ce avec une fréquence effrayante.
Selon un rapport de 2019 du Ponemon Institute, les chances de subir une fuite de données sont d’une sur quatre sur une période de deux ans. Le coût moyen total des fuites de données dépasse aujourd’hui les 3,9 millions de dollars (environ 150 $ par dossier) et peut aller bien plus loin si l’on tient compte de dépenses supplémentaires : solution de détection et traitement des menaces, notifications aux clients, réputation ternie, perte d’opportunités commerciales potentielles.
Les fuites de données peuvent entraîner une perte d’activité, des amendes importantes et des règlements coûteux
Les fuites de données sont particulièrement coûteuses dans les secteurs très réglementés comme la santé ou les services financiers, dans lesquels la divulgation de données à caractère personnel peut être punie par des amendes et des frais de justice. (Ponemon estime que le coût total des fuites de données représente 6,45 millions de dollars pour les organisations de santé et 5,86 millions de dollars pour les entreprises de services financiers).
Parmi les fuites de données notables de ces dernières années, on compte :
- En 2019, une fuite de données a exposé les données personnelles de plus de 17 millions de citoyens équatoriens. Cette faille n’est pas seulement remarquable en raison de son étendue, mais aussi à cause du niveau de détail des informations exposées. Ces informations incluaient des numéros d’identification officiels, des numéros de téléphone, des dossiers familiaux, des dates de mariage, des historiques de formation et des dossiers professionnels.
- En 2018, Cambridge Analytica, une entreprise de conseil politique britannique, a fait scandale lorsqu’il a été révélé que la firme avait récolté les données provenant du profil Facebook de millions de personnes sans leur consentement pour les utiliser dans des campagnes politiques ciblées. Cette opération a coûté 663 000 $ à Facebook (pénalité la plus élevée possible à l’époque) pour ne pas avoir suffisamment protégé les informations personnelles de ses utilisateurs.
- En 2017, une fuite de données chez Equifax a exposé les informations personnelles de 147 millions de personnes et s’est conclue par un règlement de 700 millions de dollars. L’entreprise de crédits a procédé à des remboursements individuels pouvant atteindre 20 000 $ par consommateur.
Les fuites de données existent sous différentes formes
Les malfaiteurs peuvent accéder à vos données confidentielles de différentes façons. Le groupe à but non lucratif Identity Theft Resource Center vient en aide aux victimes de vol d’identité. Il a identifié sept types différents de fuites de données :
- Exposition accidentelle sur Internet : des données sensibles ou des identifiants d’applications sont placés par accident dans un emplacement accessible sur le Web ou dans un référentiel public comme GitHub.
- Accès non autorisé : les malfaiteurs exploitent des vulnérabilités dans les systèmes de contrôle des autorisations pour accéder aux systèmes informatiques et aux données confidentielles.
- Données en déplacement : les criminels accèdent à des données sensibles transmises en clair à l’aide de HTTP ou d’autres protocoles non sécurisés.
- Erreur/négligence/problème de mise au rebut/perte par un employé : les malfaiteurs exploitent des pratiques ou des systèmes de sécurité d’entreprise faibles ou mal appliqués, ou ils accèdent à des appareils égarés ou mis hors service de façon inadaptée.
- Hacking/Intrusion : un attaquant externe dérobe des données confidentielles par phishing, logiciel malveillant, rançongiciel, écrémage ou toute autre faille.
- Vol interne : un employé en poste ou un ancien employé (ou un sous-traitant) accède à des données confidentielles à des fins malveillantes.
- Vol physique : les données sont extraites à partir d’ordinateurs, de smartphones ou de tablettes volés.
Éviter et neutraliser les fuites de données
Les experts de la sécurité conseillent aux entreprises d’adopter une stratégie de sécurité de défense en profondeur, en mettant en place plusieurs couches de sécurité pour se protéger d’un large gamme de fuites de données et les neutraliser.
Une stratégie de sécurité multicouches inclut :
- Des solutions de sécurité des accès à privilèges pour superviser et contrôler l’accès aux comptes système à privilèges, qui sont souvent pris pour cible par les acteurs malveillants internes et les attaquants externes.
- Des solutions d’authentification à plusieurs facteurs afin de renforcer la gestion des identités, éviter l’usurpation d’identité et réduire les risques associés à la perte ou au vol d’appareils ou aux mots de passe faibles.
- Des outils de détection et traitement des menaces sur les terminaux afin d’identifier et de neutraliser automatiquement les logiciels malveillants, les tentatives de phishing, les rançongiciels et les autres activités malveillantes pouvant aboutir à une fuite de données.
- Des pratiques de gestion du moindre privilège destinées à aligner étroitement les droits d’accès avec les rôles et les responsabilités, de sorte que personne ne dispose d’un accès dont il n’a pas besoin pour faire son travail. Ces démarches contribuent à réduire la surface d’attaque et contiennent la propagation de certains types de logiciels malveillants qui s’appuient sur des privilèges élevés.
