Mise à jour : 24 mai 2024
Contributeur : Matthew Kosinski
Une violation de données concerne tout incident de sécurité dans lequel des tiers non autorisés accèdent à des données sensibles ou confidentielles, y compris des données personnelles (numéros de sécurité sociale, numéros de compte bancaire, données de santé) et des données d’entreprise (dossiers client, propriété intellectuelle, informations financières).
Les termes « violation de données », « violation » et « cyberattaque » sont souvent utilisés de manière interchangeable. Pourtant, toute cyberattaque ne constitue pas une violation de données. Seules les violations de la sécurité qui consistent à obtenir un accès non autorisé aux données constituent des violations de données.
Par exemple, une attaque par déni de service distribué (DDoS) dirigée vers un site Web ne constitue pas une violation de données. Les attaques par ransomware, qui consistent à bloquer les données clients et à menacer l’entreprise victime de les divulguer à moins que cette dernière ne paie une rançon, constituent des violations de données. Le vol de disques durs, de clés USB, voire de fichiers papier contenant des informations sensibles, constitue également une violation de données.
Obtenez des informations pour mieux prendre en charge le risque de violation de données grâce au dernier rapport sur le coût d’une violation de données.
Selon le rapport Coût d’une violation des données publié en 2023 par IBM, le coût moyen d’une violation de données à l’échelle mondiale est de 4,45 millions de dollars. Alors que toute entreprise est vulnérable face à ces violations, quelles que soient sa taille et la nature de son activité, la gravité de ces incidents et les coûts nécessaires pour y remédier peuvent varier.
Par exemple, le coût moyen d’une violation de données aux États-Unis est de 9,48 millions de dollars, soit plus de quatre fois supérieur au coût d’une violation en Inde (2,18 millions de dollars).
Les conséquences des violations de données sont généralement particulièrement graves pour les organisations dans les secteurs fortement réglementés comme la santé, la finance et le secteur public, où de lourdes amendes et sanctions peuvent s'ajouter aux coûts. Par exemple, selon le rapport d’IBM, le coût moyen d’une violation de données de santé s’élève à 10,93 millions de dollars, soit plus du double du coût moyen de toutes les violations.
Le coût d’une violation de données dépend de plusieurs facteurs. En voici les quatre principaux selon le rapport d'IBM : perte d’activité, détection et endiguement, réponse post-violation et notification.
La perte d’activité, de chiffre d’affaires et de clients qui en résultent coûte aux entreprises 1,30 million de dollars en moyenne. Le coût de détection et d’endiguement est encore plus élevé, soit 1,58 million de dollars américains. Les dépenses engagées ultérieurement, comme les amendes, les frais juridiques ou encore la fourniture de services de surveillance gratuits aux clients touchés, coûtent en moyenne 1,20 million de dollars américains aux entreprises victimes de violation.
Les coûts de notification, à savoir de signalement des incidents aux clients, aux régulateurs, ainsi qu’à d’autres tiers, s’élèvent à au moins 370 000 USD. La production de rapport peut toutefois s’avérer particulièrement coûteuse et chronophage.
La loi américaine CIRCIA de 2022 (Cyber Incident Reporting for Critical Infrastructure Act) impose aux organisations des secteurs de la sécurité nationale, de la finance et d’autres secteurs désignés de signaler au Département de la sécurité intérieure, dans un délai de 72 heures, les incidents de cybersécurité qui concernent des données personnelles ou des opérations métier.
Les organisations américaines soumises à la loi HIPPA (Health Insurance Portability and Accountability Act) doivent informer le Département de la Santé et des Services sociaux des États-Unis, les personnes concernées et, dans certains cas, les médias en cas de violation des données de santé protégées.
Les 50 États américains disposent également de leur propre législation en matière de notification des violations de données.
Le Règlement général sur la protection des données (RGPD) exige que les entreprises qui traitent avec des citoyens de l’UE signalent les violations de données aux autorités dans un délai de 72 heures.
Inscrivez-vous pour obtenir le X-Force Threat Intelligence Index
Les violations de données sont causées par :
Des erreurs innocentes : un membre du personnel envoie des informations confidentielles par e-mail à la mauvaise personne, par exemple.
Les initiés malveillants incluent les employés mécontents ou licenciés cherchant à nuire à l'entreprise, ainsi que les employés avides cherchant à tirer profit des données de l'entreprise.
Des pirates informatiques : des personnes extérieures malveillantes qui perpétuent intentionnellement des actes de cybercriminalité pour voler des données. Ces pirates peuvent agir seuls ou au sein d’un groupe organisé.
La plupart des violations de données intentionnelles sont motivées par le gain financier. Les pirates volent des informations financières comme les numéros de cartes de paiement ou de comptes bancaires pour soutirer des fonds auprès des particuliers et des entreprises.
Ils peuvent également voler des informations personnellement identifiables (PII), comme les numéros de sécurité sociale ou les numéros de téléphone, pour usurper l’identité de leurs victimes et contracter des prêts ou obtenir une carte de paiement. Les cybercriminels peuvent également vendre ces informations sur le dark web, où les identifiants de connexion à un compte bancaire peuvent rapporter jusqu’à 500 dollars.1
Les violations de données peuvent également constituer la première phase d’une attaque plus complexe. Par exemple, les pirates peuvent voler le mot de passe du compte de messagerie d’un dirigeant à des fins d’escroquerie par compromission d’e-mails professionnels.
Les violations de données peuvent avoir des motivations autres que l’enrichissement personnel. Les entreprises peu scrupuleuses peuvent voler le secret d’affaires de leurs concurrents, tandis que les acteurs étatiques peuvent s’introduire dans les systèmes gouvernementaux pour voler des informations sur les affaires politiques sensibles, les opérations militaires ou les infrastructures nationales.
Certaines violations sont purement destructives, les pirates accédant à des données sensibles dans le but de les détruire ou de les dégrader. Selon le rapport sur le coût d’une violation de données, ces attaques aux effets dévastateurs représentent 25 % des violations malveillantes. Elles sont souvent le fait d’acteurs étatiques ou de groupes d’hacktivistes qui cherchent à nuire à une organisation.
La plupart des violations de données intentionnelles causées par des acteurs malveillants internes ou externes suivent le même modèle de base :
- Recherche : l’acteur malveillant identifie sa cible et recherche les faiblesses qu’il peut exploiter pour s’introduire dans le système de cette dernière. Ces faiblesses peuvent être d’ordre technique (contrôles de sécurité insuffisants), ou humain (collaborateurs vulnérables face à l’ingénierie sociale).
- Attaque : l’acteur malveillant attaque sa cible à l’aide de la méthode choisie. Il peut envoyer un e-mail de phishing ciblé, exploiter directement les vulnérabilités du système, utiliser des identifiants de connexion volés pour prendre le contrôle d’un compte ou exploiter d’autres vecteurs d’attaque courants lors d’une violation de données.
- Compromettre les données : une fois introduit dans le système, le pirate localise les données souhaitées et passe à l’action. Les tactiques les plus courantes consistent à exfiltrer les données pour les vendre ou s’en servir, à les détruire ou à les verrouiller pour demander une rançon.
Les acteurs malveillants peuvent utiliser divers vecteurs d’attaque ou diverses méthodes pour perpétrer des violations de données. Parmi les plus courants, citons :
Selon le rapport 2023 sur le coût d’une violation de données, les identifiants volés ou compromis sont le second vecteur d’attaque initial le plus courant, représentant 15 % des violations de données.
Les pirates peuvent mener des attaques par force brute pour déchiffrer les mots de passe, acheter des identifiants volés sur le dark web ou amener les salariés à dévoiler leurs mots de passe par le biais d’attaques d’ingénierie sociale.
L’ingénierie sociale consiste à manipuler psychologiquement des personnes afin qu’elles compromettent involontairement la sécurité de leurs propres informations.
L’hameçonnage, le type d’attaque d’ingénierie sociale le plus courant, est également le vecteur d’attaque le plus fréquent pour les violations de données, représentant 16 % d’entre elles. Les escroqueries par hameçonnage utilisent des e-mails, des SMS, du contenu de réseaux sociaux ou des sites Web frauduleux pour inciter les utilisateurs à communiquer leurs identifiants ou à télécharger des logiciels malveillants.
Logiciel malveillant conçu pour prendre en otage les données de la victime jusqu’à ce que cette dernière paie une rançon, les ransomwares sont impliqués dans 24 % des violations malveillantes, selon le rapport Coût d’une violation de données. Ces violations sont généralement plus coûteuses (5,13 millions de dollars en moyenne). Ce chiffre ne comprend pas la rançon payée, dont le montant peut atteindre plusieurs dizaines de millions de dollars.
Les cybercriminels peuvent accéder à un réseau cible en exploitant des failles dans les sites Web, les systèmes d'exploitation, les points de terminaison, les API et les logiciels courants comme Microsoft Office ou d'autres actifs informatiques.
Les acteurs malveillants n’ont pas besoin de frapper directement leurs cibles. Dans les attaques sur la chaîne d’approvisionnement, les pirates exploitent les vulnérabilités du réseau de prestataires de services et de fournisseurs de l’entreprise pour voler ses données.
Lorsque les pirates repèrent une vulnérabilité, ils l’utilisent généralement pour implanter un logiciel malveillant dans le réseau. Utilisés à des fins de violation de données, les logiciels espions enregistrent les frappes au clavier de la victime, ainsi que d’autres données sensibles, afin de les envoyer vers un serveur contrôlé par les pirates.
Autre méthode permettant de pénétrer directement dans les systèmes cibles, l’injection SQL consiste à exploiter les faiblesses des bases de données SQL (Structured Query Language) des sites Web non sécurisés.
Les pirates introduisent un code malveillant dans les champs destinés aux utilisateurs, tels que les barres de recherche et les fenêtres de connexion. Ce code force la base de données à divulguer des données personnelles comme les numéros de cartes bancaires et d’autres informations sur les clients.
Les pirates peuvent exploiter les erreurs commises par les salariés pour accéder à des informations confidentielles.
Par exemple, un système mal configuré ou obsolète peut permettre d’obtenir un accès non autorisé aux données. Le personnel peut exposer les données en les stockant dans un endroit non sécurisé, en égarant les appareils dont le disque dur contient des informations sensibles, ou en accordant par erreur des privilèges excessifs aux utilisateurs du réseau. Les cybercriminels peuvent exploiter les défaillances informatiques comme les pannes système temporaires pour pénétrer dans des bases de données sensibles.
Selon le rapport Coût d’une violation de données, les erreurs de configuration du cloud sont à l’origine de 11 % des violations. 6 % des violations sont liées à l’exploitation des vulnérabilités connues et non corrigées. Les pertes accidentelles de données, y compris les appareils perdus ou volés, représentent 6 % supplémentaires. Au total, ces erreurs sont à l’origine de près d’un quart des violations.
Les acteurs malveillants peuvent s’introduire dans les bureaux de l’entreprise pour voler appareils, documents papier et disques durs contenant des données sensibles. Ils peuvent également placer des dispositifs de skimming sur les terminaux de paiement pour collecter des informations sur les cartes bancaires utilisées.
La violation de données consommateurs subie en 2007 par TJX Corporation, la société mère des détaillants TJ Maxx et Marshalls, était à l’époque la plus importante et la plus coûteuse de l’histoire des États-Unis. Pas moins de 94 millions de données clients ont été compromises, soit une perte financière de plus de 256 millions de dollars.
Les pirates ont pu accéder aux données en installant des détecteurs de trafic sur les réseaux sans fil de deux magasins. Ces détecteurs leur ont permis de s’emparer des informations au fur et à mesure qu’elles étaient transmises des caisses enregistreuses du magasin aux systèmes principaux.
En 2013, Yahoo a subi une violation de données sans doute la plus importante de l’histoire. Les pirates avaient exploité une faiblesse du système de cookies de l’entreprise pour accéder aux noms, dates de naissance, adresses e-mail et mots de passe des 3 milliards d’utilisateurs Yahoo.
L’ampleur de la violation a été révélée en 2016, alors que Verizon était en pourparlers pour racheter l’entreprise. Verizon a alors diminué son offre de rachat de 350 millions de dollars.
En 2017, des pirates informatiques se sont introduits dans la société Equifax et ont accédé aux données personnelles de plus de 143 millions d’Américains.
Les pirates ont exploité une faiblesse non corrigée du site Web Equifax pour accéder au réseau. Ils se sont ensuite déplacés latéralement vers d’autres serveurs pour obtenir numéros de sécurité sociale, numéros de permis de conduire et numéros de cartes de paiement. L’attaque a coûté à Equifax 1,4 milliard de dollars en règlements, amendes et coûts de récupération.
En 2020, des acteurs malveillants russes ont lancé une attaque contre la chaîne d’approvisionnement en piratant le fournisseur de logiciels SolarWinds. Les pirates ont utilisé Orion, la plateforme de surveillance du réseau de l’organisation, pour distribuer clandestinement des logiciels malveillants aux clients de SolarWinds.
Les espions russes ont accédé aux informations confidentielles de diverses agences gouvernementales américaines qui utilisent les services de SolarWinds, notamment les Départements du Trésor, de la Justice et de l’État.
En 2021, des pirates informatiques ont lancé une attaque par ransomware contre les systèmes de Colonial Pipeline, forçant la société à fermer temporairement le pipeline fournissant 45 % du carburant de la côte Est des États-Unis.
Les pirates se sont introduits dans le réseau grâce au mot de passe d’un employé, qu’ils se sont procuré sur le dark web. La Colonial Pipeline Company a payé une rançon de 4,4 millions de dollars en cryptomonnaie, mais les forces de l’ordre fédérales ont pu en récupérer environ 2,3 millions.
À l’automne 2023, des pirates ont volé les données de 6,9 millions d’utilisateurs 23andMe. La violation était notable pour plusieurs raisons. Premièrement, étant donné que 23andMe effectue des tests génétiques, les pirates ont pu accéder à des informations peu habituelles et très personnelles (arbres généalogiques et données ADN).
Ensuite, les pirates informatiques ont également violé des comptes d'utilisateurs grâce à une technique appelée « bourrage d'identifiant ». Dans ce type d'attaque, les pirates utilisent des identifiants exposés lors de fuites de données antérieures provenant d'autres sources pour accéder aux comptes des utilisateurs sur différentes plateformes. Ces attaques fonctionnent, car de nombreuses personnes réutilisent les mêmes combinaisons de nom d'utilisateur et de mot de passe sur plusieurs sites.
Selon le rapport Coût d’une violation de données, il faut en moyenne 277 jours aux entreprises pour identifier et endiguer une violation en cours. Déployer des solutions de sécurité adaptées leur permet d’accélérer la détection et la réponse.
Évaluation régulière des vulnérabilités, planification des sauvegardes, application prompte des correctifs, configuration efficace des bases de données... Autant de mesures standard qui permettent de prévenir certaines violations et de réduire l’impact de celles qui ont lieu.
Cependant, bon nombre d’entreprises associent aujourd’hui contrôles avancés et bonnes pratiques pour mieux lutter contre ces violations et réduire considérablement leur impact.
Les entreprises peuvent déployer des solutions de sécurité des données spécialement conçues pour découvrir et classer automatiquement les informations sensibles, appliquer diverses méthodes de protection comme le chiffrement, et analyser en temps réel l’utilisation des données.
Afin de réduire l’impact des violations, il est essentiel d’adopter un plan formel de réponse aux incidents, spécialement conçu pour détecter, endiguer et éradiquer les cybermenaces. Selon le rapport Coût d’une violation de données, les entreprises qui associent plans de réponse aux incidents testés régulièrement et équipes d’intervention dédiées réduisent le temps nécessaire pour endiguer une violation de 54 jours en moyenne.
Les entreprises qui intègrent largement l’intelligence artificielle (IA) et l’automatisation dans leurs opérations de sécurité réduisent le délai de résolution de 108 jours, selon le rapport Coût d’une violation de données. Ce dernier indique également que l’IA et l’automatisation de la sécurité permettent de diminuer le coût moyen d’une violation de 1,76 million de dollars, soit une réduction de 40 %.
Bon nombre d’outils de sécurité des données, de prévention des pertes de données et de gestion des identités et des accès intègrent désormais l’IA et l’automatisation.
L’ingénierie sociale et les attaques par hameçonnage étant les principales causes de violation, former les employés à reconnaître et à éviter ces attaques permet de s’en prémunir. Par ailleurs, former les employés à gérer correctement les données contribue à prévenir les violations et fuites accidentelles.
Les gestionnaires de mots de passe, l’authentification à deux facteurs (2FA) ou à étapes (MFA), l’authentification unique (SSO) et autres outils de gestion des identités et des accès (IAM) permettent de protéger les comptes et les identifiants des employés contre le vol.
Les entreprises peuvent également appliquer des contrôles d’accès basés sur les rôles et le principe du moindre privilège pour limiter l’accès de leurs employés aux seules données dont ils ont besoin pour accomplir leur mission. Ces politiques permettent d’arrêter les menaces internes, ainsi que les pirates qui s’emparent des comptes légitimes.
Protégez les données dans les clouds hybrides et simplifiez les exigences de conformité.
Renforcez la protection de la confidentialité des données, gagnez la confiance de vos clients et développez votre activité.
Améliorez le programme de réponse aux incidents de votre organisation, minimisez l’impact d’une violation et bénéficiez d’une réponse rapide aux incidents de cybersécurité.
Découvrez les différentes mesures à adopter pour mieux protéger vos données et assurer votre conformité : centraliser les opérations de sécurité, corriger les vulnérabilités, etc.
Découvrez comment l’environnement de la sécurité actuel évolue, comment faire face aux défis de l’IA générative et comment tirer pleinement parti de sa résilience.
Découvrez comment fonctionne les ransomwares, pourquoi ils ont proliféré ces dernières années et comment les organisations s’en prémunissent.
Notes de bas de page
1 How Much Do Hackers Make From Stealing Your Data? (lien externe à ibm.com), Nasdaq. 16 octobre 2023