Accueil
Thèmes
Violation de données
Mise à jour : 24 mai 2024
Contributeur : Matthew Kosinski
Une violation de données concerne tout incident de sécurité dans lequel des tiers non autorisés accèdent à des données sensibles ou confidentielles, y compris des données personnelles (numéros de sécurité sociale, numéros de compte bancaire, données de santé) et des données d’entreprise (dossiers client, propriété intellectuelle, informations financières).
Les termes « violation de données », « violation » et « cyberattaque » sont souvent utilisés de manière interchangeable. Pourtant, toute cyberattaque ne constitue pas une violation de données. Seules les violations de la sécurité qui consistent à obtenir un accès non autorisé aux données constituent des violations de données.
Par exemple, une attaque par déni de service distribué (DDoS) dirigée vers un site Web ne constitue pas une violation de données. Les attaques par ransomware, qui consistent à bloquer les données clients et à menacer l’entreprise victime de les divulguer à moins que cette dernière ne paie une rançon, constituent des violations de données. Le vol de disques durs, de clés USB, voire de fichiers papier contenant des informations sensibles, constitue également une violation de données.
Obtenez des informations pour mieux prendre en charge le risque de violation de données grâce au dernier rapport sur le coût d’une violation de données.
Selon le Rapport sur le coût d’une violation de données d’IBM, le coût moyen global d’une violation de données est de 4,88 millions de dollars. Alors que toute entreprise est vulnérable face à ces violations, quelles que soient sa taille et la nature de son activité, la gravité de ces incidents et les coûts nécessaires pour y remédier peuvent varier.
Par exemple, le coût moyen d’une violation de données aux États-Unis est de 9,36 millions de dollars, soit plus de quatre fois supérieur au coût d’une violation en Inde (2,35 millions de dollars).
En général, les conséquences des violations de données sont particulièrement graves pour les organisations dans les secteurs fortement réglementés comme la santé, la finance et le secteur public, où de lourdes amendes et sanctions peuvent s’ajouter aux coûts. Par exemple, selon le rapport d’IBM, une violation de données moyenne dans le secteur de la santé coûte 9,77 millions de dollars, soit le double du coût moyen de l’ensemble des violations.
Le coût d’une violation de données dépend de plusieurs facteurs. En voici les quatre principaux selon le rapport d'IBM : perte d’activité, détection et endiguement, réponse post-violation et notification.
La perte d’activité, de chiffre d’affaires et de clients qui en résultent coûte aux entreprises 1,47 million de dollars en moyenne. Le coût de la détection et de l’endiguement est encore plus élevé, soit 1,63 million de dollars américains. Les dépenses engagées après la violation (amendes, règlements, frais juridiques, fourniture de services de surveillance gratuits aux clients touchés et autres dépenses similaires) coûtent en moyenne 1,35 million de dollars américains à la victime.
Les coûts de notification, qui comprennent notamment le signalement des incidents aux clients, aux régulateurs ainsi qu’à d’autres tiers, s’élèvent à au moins 430 000 USD. La production de rapports peut toutefois s’avérer particulièrement coûteuse et chronophage.
La loi américaine CIRCIA de 2022 (Cyber Incident Reporting for Critical Infrastructure Act) impose aux organisations des secteurs de la sécurité nationale, de la finance et d’autres secteurs désignés de signaler au Département de la sécurité intérieure, dans un délai de 72 heures, les incidents de cybersécurité qui concernent des données personnelles ou des opérations métier.
Les organisations américaines soumises à la loi HIPPA (Health Insurance Portability and Accountability Act) doivent informer le Département de la Santé et des Services sociaux des États-Unis, les personnes concernées et, dans certains cas, les médias en cas de violation des données de santé protégées.
Les 50 États américains disposent également de leur propre législation en matière de notification des violations de données.
Le Règlement général sur la protection des données (RGPD) exige que les entreprises qui traitent avec des citoyens de l’UE signalent les violations de données aux autorités dans un délai de 72 heures.
Les violations de données sont causées par :
Des erreurs innocentes : un membre du personnel envoie des informations confidentielles par e-mail à la mauvaise personne, par exemple.
Les initiés malveillants incluent les employés mécontents ou licenciés cherchant à nuire à l'entreprise, ainsi que les employés avides cherchant à tirer profit des données de l'entreprise.
Des pirates informatiques : des personnes extérieures malveillantes qui perpétuent intentionnellement des actes de cybercriminalité pour voler des données. Ces pirates peuvent agir seuls ou au sein d’un groupe organisé.
La plupart des violations de données intentionnelles sont motivées par le gain financier. Les pirates volent des informations financières comme les numéros de cartes de paiement ou de comptes bancaires pour soutirer des fonds auprès des particuliers et des entreprises.
Ils peuvent également voler des informations personnellement identifiables (PII), comme les numéros de sécurité sociale ou les numéros de téléphone, pour usurper l’identité de leurs victimes et contracter des prêts ou obtenir une carte de paiement. Les cybercriminels peuvent également vendre ces informations sur le dark web, où les identifiants de connexion à un compte bancaire peuvent rapporter jusqu’à 500 dollars.1
Les violations de données peuvent également constituer la première phase d’une attaque plus complexe. Par exemple, les pirates peuvent voler le mot de passe du compte de messagerie d’un dirigeant à des fins d’escroquerie par compromission d’e-mails professionnels.
Les violations de données peuvent avoir des motivations autres que l’enrichissement personnel. Les entreprises peu scrupuleuses peuvent voler le secret d’affaires de leurs concurrents, tandis que les acteurs étatiques peuvent s’introduire dans les systèmes gouvernementaux pour voler des informations sur les affaires politiques sensibles, les opérations militaires ou les infrastructures nationales.
La plupart des violations de données intentionnelles causées par des acteurs malveillants internes ou externes suivent le même modèle de base :
Les acteurs malveillants peuvent utiliser divers vecteurs d’attaque ou diverses méthodes pour perpétrer des violations de données. Parmi les plus courants, citons :
Selon le Rapport sur le coût d’une violation de données de 2024, les identifiants volés ou compromis sont le second vecteur d’attaque initial le plus courant et représentent 16 % des violations de données.
Les pirates peuvent mener des attaques par force brute pour déchiffrer les mots de passe, acheter des identifiants volés sur le dark web ou amener les salariés à dévoiler leurs mots de passe par le biais d’attaques d’ingénierie sociale.
L’ingénierie sociale consiste à manipuler psychologiquement des personnes afin qu’elles compromettent involontairement la sécurité de leurs propres informations.
L’hameçonnage, le type d’attaque d’ingénierie sociale le plus courant, est également le vecteur d’attaque le plus fréquent pour les violations de données, représentant 16 % d’entre elles. Les escroqueries par hameçonnage utilisent des e-mails, des SMS, du contenu de réseaux sociaux ou des sites Web frauduleux pour inciter les utilisateurs à communiquer leurs identifiants ou à télécharger des logiciels malveillants.
Logiciel malveillant conçu pour prendre en otage les données de la victime jusqu’à ce que cette dernière paie une rançon, les ransomwares coûtent en moyenne 4,91 millions de dollars américains (selon le Rapport sur le coût d’une violation de données. Ces violations sont généralement coûteuses, car ce chiffre ne comprend pas le paiement des rançons, qui peuvent atteindre des dizaines de millions de dollars.
Les cybercriminels peuvent accéder à un réseau cible en exploitant des failles dans les sites Web, les systèmes d'exploitation, les points de terminaison, les API et les logiciels courants comme Microsoft Office ou d'autres actifs informatiques.
Les acteurs malveillants n’ont pas besoin de frapper directement leurs cibles. Dans les attaques sur la chaîne d’approvisionnement, les pirates exploitent les vulnérabilités du réseau de prestataires de services et de fournisseurs de l’entreprise pour voler ses données.
Lorsque les pirates repèrent une vulnérabilité, ils l’utilisent généralement pour implanter un logiciel malveillant dans le réseau. Utilisés à des fins de violation de données, les logiciels espions enregistrent les frappes au clavier de la victime, ainsi que d’autres données sensibles, afin de les envoyer vers un serveur contrôlé par les pirates.
Autre méthode permettant de pénétrer directement dans les systèmes cibles, l’injection SQL consiste à exploiter les faiblesses des bases de données SQL (Structured Query Language) des sites Web non sécurisés.
Les pirates introduisent un code malveillant dans les champs destinés aux utilisateurs, tels que les barres de recherche et les fenêtres de connexion. Ce code force la base de données à divulguer des données personnelles comme les numéros de cartes bancaires et d’autres informations sur les clients.
Les pirates peuvent exploiter les erreurs commises par les salariés pour accéder à des informations confidentielles.
Par exemple, un système mal configuré ou obsolète peut permettre d’obtenir un accès non autorisé aux données. Le personnel peut exposer les données en les stockant dans un endroit non sécurisé, en égarant les appareils dont le disque dur contient des informations sensibles, ou en accordant par erreur des privilèges excessifs aux utilisateurs du réseau. Les cybercriminels peuvent exploiter les défaillances informatiques comme les pannes système temporaires pour pénétrer dans des bases de données sensibles.
Selon le Rapport sur le coût d’une violation de données, les erreurs de configuration du cloud sont à l’origine de 12 % des violations. 6 % des violations sont liées à l’exploitation de vulnérabilités connues et non corrigées. Les pertes accidentelles de données, qui comprennent notamment les cas où des appareils sont perdus ou volés, représentent 6 % supplémentaires. Au total, ces erreurs sont à l’origine de près d’un quart des violations.
Les acteurs malveillants peuvent s’introduire dans les bureaux de l’entreprise pour voler appareils, documents papier et disques durs contenant des données sensibles. Ils peuvent également placer des dispositifs de skimming sur les terminaux de paiement pour collecter des informations sur les cartes bancaires utilisées.
La violation de données consommateurs subie en 2007 par TJX Corporation, la société mère des détaillants TJ Maxx et Marshalls, était à l’époque la plus importante et la plus coûteuse de l’histoire des États-Unis. Pas moins de 94 millions de données clients ont été compromises, soit une perte financière de plus de 256 millions de dollars.
Les pirates ont pu accéder aux données en installant des détecteurs de trafic sur les réseaux sans fil de deux magasins. Ces détecteurs leur ont permis de s’emparer des informations au fur et à mesure qu’elles étaient transmises des caisses enregistreuses du magasin aux systèmes principaux.
En 2013, Yahoo a subi une violation de données sans doute la plus importante de l’histoire. Les pirates avaient exploité une faiblesse du système de cookies de l’entreprise pour accéder aux noms, dates de naissance, adresses e-mail et mots de passe des 3 milliards d’utilisateurs Yahoo.
L’ampleur de la violation a été révélée en 2016, alors que Verizon était en pourparlers pour racheter l’entreprise. Verizon a alors diminué son offre de rachat de 350 millions de dollars.
En 2017, des pirates informatiques se sont introduits dans la société Equifax et ont accédé aux données personnelles de plus de 143 millions d’Américains.
Les pirates ont exploité une faiblesse non corrigée du site Web Equifax pour accéder au réseau. Ils se sont ensuite déplacés latéralement vers d’autres serveurs pour obtenir numéros de sécurité sociale, numéros de permis de conduire et numéros de cartes de paiement. L’attaque a coûté à Equifax 1,4 milliard de dollars en règlements, amendes et coûts de récupération.
En 2020, des acteurs malveillants russes ont lancé une attaque contre la chaîne d’approvisionnement en piratant le fournisseur de logiciels SolarWinds. Les pirates ont utilisé Orion, la plateforme de surveillance du réseau de l’organisation, pour distribuer clandestinement des logiciels malveillants aux clients de SolarWinds.
Les espions russes ont accédé aux informations confidentielles de diverses agences gouvernementales américaines qui utilisent les services de SolarWinds, notamment les Départements du Trésor, de la Justice et de l’État.
En 2021, des pirates informatiques ont lancé une attaque par ransomware contre les systèmes de Colonial Pipeline, forçant la société à fermer temporairement le pipeline fournissant 45 % du carburant de la côte Est des États-Unis.
Les pirates se sont introduits dans le réseau grâce au mot de passe d’un employé, qu’ils se sont procuré sur le dark web. La Colonial Pipeline Company a payé une rançon de 4,4 millions de dollars en cryptomonnaie, mais les forces de l’ordre fédérales ont pu en récupérer environ 2,3 millions.
À l’automne 2023, des pirates ont volé les données de 6,9 millions d’utilisateurs 23andMe. La violation était notable pour plusieurs raisons. Premièrement, étant donné que 23andMe effectue des tests génétiques, les pirates ont pu accéder à des informations peu habituelles et très personnelles (arbres généalogiques et données ADN).
Ensuite, les pirates informatiques ont également violé des comptes d'utilisateurs grâce à une technique appelée « bourrage d'identifiant ». Dans ce type d'attaque, les pirates utilisent des identifiants exposés lors de fuites de données antérieures provenant d'autres sources pour accéder aux comptes des utilisateurs sur différentes plateformes. Ces attaques fonctionnent, car de nombreuses personnes réutilisent les mêmes combinaisons de nom d'utilisateur et de mot de passe sur plusieurs sites.
Selon le Rapport sur le coût d’une violation de données, il faut en moyenne 272 jours pour identifier et endiguer une violation en cours tous secteurs d’activité confondus. Déployer des solutions de sécurité adaptées permet aux organisations d’accélérer la détection et la réponse.
Évaluation régulière des vulnérabilités, planification des sauvegardes, application prompte des correctifs, configuration efficace des bases de données... Autant de mesures standard qui permettent de prévenir certaines violations et de réduire l’impact de celles qui ont lieu.
Cependant, bon nombre d’entreprises associent aujourd’hui contrôles avancés et bonnes pratiques pour mieux lutter contre ces violations et réduire considérablement leur impact.
Les entreprises peuvent déployer des solutions de sécurité des données spécialement conçues pour découvrir et classer automatiquement les informations sensibles, appliquer diverses méthodes de protection comme le chiffrement, et analyser en temps réel l’utilisation des données.
Afin de réduire l’impact des violations, il est essentiel d’adopter un plan formalisé de réponse aux incidents, spécialement conçu pour détecter, endiguer et éradiquer les cybermenaces. Selon le Rapport sur le coût d’une violation de données, le domaine d’investissement le plus populaire cette année en matière de sécurité a été, selon 55 % des personnes interrogées, la planification de la réponse aux incidents et les tests qui y sont liés.
Selon le Rapport sur le coût d’une violation de données, les entreprises qui intègrent largement l’intelligence artificielle (IA) et l’automatisation dans leurs opérations de sécurité réduisent le délai de résolution de 108 jours. Le rapport a également révélé que l’IA et l’automatisation de la sécurité réduisent le coût moyen d’une violation de 1,88 million de dollars, soit une économie de plus de 30 %.
Bon nombre d’outils de sécurité des données, de prévention des pertes de données et de gestion des identités et des accès intègrent désormais l’IA et l’automatisation.
L’ingénierie sociale et les attaques par hameçonnage étant les principales causes de violation, former les employés à reconnaître et à éviter ces attaques permet de s’en prémunir. Par ailleurs, former les employés à gérer correctement les données contribue à prévenir les violations et fuites accidentelles.
Les gestionnaires de mots de passe, l’authentification à deux facteurs (2FA) ou à étapes (MFA), la connexion unique (SSO) et d’autres outils de gestion des identités et des accès (IAM) permettent de protéger les comptes et les identifiants des employés contre le vol.
Les entreprises peuvent également appliquer des contrôles d’accès basés sur les rôles et le principe du moindre privilège pour limiter l’accès de leurs employés aux seules données dont ils ont besoin pour accomplir leur mission. Ces politiques permettent d’arrêter les menaces internes, ainsi que les pirates qui s’emparent des comptes légitimes.
Protégez les données dans les clouds hybrides et simplifiez les exigences de conformité.
Renforcez la protection de la confidentialité des données, gagnez la confiance de vos clients et développez votre activité.
Améliorez le programme de réponse aux incidents de votre organisation, minimisez l’impact d’une violation et bénéficiez d’une réponse rapide aux incidents de cybersécurité.
Découvrez les différentes mesures à adopter pour mieux protéger vos données et assurer votre conformité : centraliser les opérations de sécurité, corriger les vulnérabilités, etc.
Découvrez comment l’environnement de la sécurité actuel évolue, comment faire face aux défis de l’IA générative et comment tirer pleinement parti de sa résilience.
Découvrez comment fonctionne les ransomwares, pourquoi ils ont proliféré ces dernières années et comment les organisations s’en prémunissent.
1 How Much Do Hackers Make From Stealing Your Data? (lien externe à ibm.com), Nasdaq. 16 octobre 2023