L’exfiltration de données (également connue sous le nom d’extrusion ou d’exportation de données) est un vol de données : le transfert intentionnel, non autorisé et secret de données à partir d’un ordinateur ou d’un autre appareil. L’exfiltration de données peut être effectuée manuellement ou automatisée à l’aide de logiciels malveillants.
Pour des cibles allant de l’utilisateur moyen aux grandes entreprises et agences gouvernementales, les attaques par exfiltration de données figurent parmi les menaces de cybersécurité les plus destructrices et les plus préjudiciables. Il est indispensable de s’en prémunir et de protéger les données d’entreprise, et ce à plusieurs titres :
Garantir la continuité des activités : l’exfiltration de données peut perturber les opérations, nuire à la confiance des clients et entraîner des pertes financières.
Respecter les réglementations: de nombreux secteurs d’activité disposent de réglementations spécifiques en matière de confidentialité et de protection des données. L’exfiltration de données résulte souvent d’un défaut de conformité à ces réglementations et peut entraîner des sanctions sévères et une atteinte durable à la réputation.
Protéger la propriété intellectuelle : l’exfiltration de données peut compromettre les secrets commerciaux, la recherche et le développement, ainsi que d’autres informations propriétaires essentielles à la rentabilité et à l’avantage concurrentiel d’une organisation.
Pour les cybercriminels, les données sensibles sont une cible extrêmement précieuse. Les données client volées, les informations personnelles identifiables (PII), les numéros de sécurité sociale ou tout autre type d’information confidentielle peuvent être vendus sur le marché noir. Les données volées peuvent également être utilisées pour lancer d’autres cyberattaques ou pris en otage en échange d’une somme exorbitante dans le cadre d’une attaque par ransomware.
Avec l’IBM Security X-Force Threat Intelligence Index, vous disposez d’informations qui vous permettent de vous préparer et de réagir plus rapidement et plus efficacement aux cyberattaques.
Demandez notre rapport sur le coût d’une violation de données
Bien que souvent utilisés de manière interchangeable, les concepts de fuite de données, de violation de données et d’exfiltration de données sont différents, même s’ils sont liés.
La fuite de données est l’exposition accidentelle de données sensibles. La fuite de données peut résulter d’une vulnérabilité technique ou d’une erreur de procédure.
Une violation de données est un incident de sécurité qui entraîne un accès non autorisé à des informations confidentielles ou sensibles. Une personne qui ne devrait pas avoir accès à des données sensibles y accède.
L’exfiltration de données est l’acte concret qui consiste à voler les données. Toute exfiltration de données nécessite une fuite ou une violation de données, mais toutes les fuites ou violations de données ne conduisent pas à une exfiltration de données. Par exemple, un acteur malveillant peut choisir de chiffrer des données, dans le cadre d’une attaque par ransomware, ou de les utiliser pour pirater le compte de messagerie d’un dirigeant. Il n’y a pas d’exfiltration de données tant que les données ne sont pas copiées ou déplacées vers un autre dispositif de stockage sous le contrôle de l’attaquant.
La distinction est importante. Une recherche Google sur les « coûts d’une exfiltration de données » révèle généralement des informations générales sur les coûts des violations de données, mais très peu sur les coûts de l'exfiltration des données. Ces coûts comprennent souvent le paiement de rançons importantes afin d'empêcher la vente ou la diffusion des données exfiltrées, ainsi que de nouvelles rançons pour prévenir d’éventuelles attaques ultérieures.
Généralement, l'exfiltration de données est causée par :
Un attaquant extérieur, tel qu’un pirate informatique, un cybercriminel, un ennemi étranger ou un autre acteur malveillant.
Une personne interne négligente, telle qu’un employé, un partenaire commercial ou un autre utilisateur autorisé qui expose par inadvertance des données en raison d’une erreur humaine, d’un manque de jugement (par exemple, en se laissant piéger par une tentative d’hameçonnage) ou par méconnaissance des contrôles, des politiques et des bonnes pratiques de sécurité. Par exemple, un utilisateur qui transfère des données sensibles sur une clé USB, un disque dur portable ou un autre appareil non sécurisé représente une menace.
Dans des cas plus rares, la cause est une menace interne malveillante, c’est-à-dire un acteur malveillant disposant d’un accès autorisé au réseau, tel qu’un employé mécontent.
Les attaquants extérieurs et les personnes internes malveillantes exploitent les employés négligents ou mal formés, ainsi que les vulnérabilités de sécurité techniques, pour accéder à des données sensibles et les voler.
Les attaques d’ingénierie sociale exploitent la psychologie humaine pour manipuler ou tromper une personne afin qu’elle compromette sa propre sécurité ou celle de son organisation.
Le type d'attaque d'ingénierie sociale le plus courant est le hameçonnage, qui consiste à utiliser des e-mails, des SMS ou des messages vocaux qui usurpent l'identité d'un expéditeur de confiance et convainquent les utilisateurs de réaliser l'une des actions suivantes :
- Télécharger des logiciels malveillants (tels que des ransomwares)
- Cliquez sur les liens vers des sites Web malveillants
- Fournir des informations personnelles (par exemple, les identifiants de connexion)
- Transmettre directement les données que l'attaquant souhaite exfiltrer
Les attaques par hameçonnage peuvent aller des messages impersonnels d’hameçonnage en masse qui semblent provenir de marques ou d’organisations de confiance, aux attaques hautement personnalisées par harponnage, whaling et compromission de la messagerie d’entreprise (BEC). Les attaques BEC ciblent des individus spécifiques avec des messages qui semblent provenir de collègues proches ou de figures d’autorité.
Mais l’ingénierie sociale peut être beaucoup moins technique. Une technique d’ingénierie sociale, appelée baiting (ou appâtage), consiste simplement à laisser une clé USB infectée par un logiciel malveillant dans un endroit où l’utilisateur la ramassera. Une autre technique, appelée tailgaiting (ou talonnage), consiste simplement à suivre un utilisateur autorisé dans une pièce où des données sont stockées.
Un exploit de vulnérabilité tire parti d’une faille de sécurité ou d’une ouverture dans le matériel, le logiciel ou le microprogramme d’un système ou d’un appareil. Les exploits zero-day tirent parti des failles de sécurité que les pirates découvrent avant que les fournisseurs de logiciels ou d’appareils n’en aient connaissance ou ne soient en mesure de les corriger. Le tunneling DNS utilise les requêtes du service de noms de domaine (DNS) pour contourner les défenses du pare-feu et créer un tunnel virtuel permettant d’exfiltrer des informations sensibles.
Pour les particuliers, les données volées par exfiltration peuvent avoir des conséquences coûteuses telles que l’usurpation d’identité, la fraude à la carte de crédit ou à la banque, le chantage ou l’extorsion. Pour les organisations, en particulier dans les secteurs hautement réglementés tels que la santé et la finance, les conséquences sont infiniment plus lourdes. Voici des exemples de ce qui peut se produire :
L’interruption des opérations résultant de la perte de données critiques
La perte de la confiance des clients ou d’activité
La compromission de secrets commerciaux, tels que des développements/inventions de produits, du code d’application unique ou des processus de fabrication
Des amendes, des frais et d’autres sanctions réglementaires sévères pour les organisations tenues par la loi d’adhérer à des protocoles et des mesures de précaution stricts en matière de protection des données et de la confidentialité lorsqu’elles traitent les données sensibles de leurs clients
Les attaques ultérieures rendues possibles par les données exfiltrées
Il est difficile de trouver des rapports ou des études sur les coûts directement imputables à l’exfiltration de données, mais les incidents d'exfiltration de données augmente rapidement. Aujourd’hui, la plupart des attaques par ransomware sont des attaques à double extorsion : le cybercriminel chiffre les données de la victime et les exfiltre. Ensuite, le cybercriminel demande une rançon pour les débloquer (afin que la victime puisse reprendre ses activités) et une autre rançon pour empêcher la vente ou la diffusion des données à des tiers.
En 2020, les cybercriminels ont exfiltré des centaines de millions de fichiers clients rien que chez Microsoft et Facebook. En 2022, le groupe de pirates informatiques Lapsus$ a exfiltré 1 téraoctet de données sensibles du fabricant de puces Nvidia et a divulgué le code source de la technologie de deep learning de l’entreprise. Si les pirates sont intéressés par l’argent, les sommes à gagner dans l’exfiltration de données doivent être considérables et de plus en plus conséquentes.
Les organisations utilisent une combinaison de bonnes pratiques et de solutions de sécurité pour prévenir l’exfiltration de données.
Formation de sensibilisation à la sécurité. L’hameçonnage étant un vecteur d’attaque très courant pour l’exfiltration de données, former les utilisateurs à reconnaître les arnaques peut contribuer à bloquer les tentatives d’exfiltration de données des pirates informatiques. Former les utilisateurs aux bonnes pratiques en matière de télétravail, d’hygiène des mots de passe, d’utilisation d’appareils personnels au travail et de traitement/transfert/stockage des données d’entreprise peut aider les organisations à réduire le risque d’exfiltration de données.
Gestion des identités et des accès (IAM). Les systèmes IAM permettent aux entreprises d’attribuer et de gérer une identité numérique unique et un ensemble unique de privilèges d’accès pour chaque utilisateur sur le réseau. Ces systèmes rationalisent l'accès pour les utilisateurs autorisés tout en empêchant les utilisateurs non autorisés et les pirates informatiques d'y accéder. L’IAM peut combiner des technologies telles que :
L’authentification multifacteur (qui nécessite un ou plusieurs identifiants de connexion en plus d’un nom d’utilisateur et d’un mot de passe).
Le contrôle d’accès basé sur les rôles (RBAC) : les autorisations d’accès sont basées sur le rôle de l’utilisateur dans l’organisation.
L’authentification adaptative : demande aux utilisateurs de s’authentifier à nouveau lorsque le contexte change (par exemple, lorsqu’ils changent d’appareil ou tentent d’accéder à des applications ou à des données particulièrement sensibles).
La connexion unique : un schéma d’authentification qui permet aux utilisateurs de se connecter à une session une seule fois en utilisant un ensemble unique d’identifiants de connexion, et d’accéder à plusieurs services connexes sur site ou dans le cloud au cours de cette session sans avoir à se connecter à nouveau.
La prévention des pertes de données (DLP). Les solutions de DLP surveillent et inspectent les données sensibles dans n’importe quel état (au repos (stockage), en mouvement (déplacement sur le réseau) et en cours d’utilisation (traitement)) à la recherche de signes d’exfiltration, et bloquent l’exfiltration en conséquence. Par exemple, la technologie de DLP peut empêcher les données d’être copiées vers un service de stockage dans le cloud non autorisé, ou d’être traitées par une application non autorisée (par exemple, une application qu’un utilisateur télécharge sur le Web).
Les technologies de détection et de réponse aux menaces. Une catégorie croissante de technologies de cybersécurité surveille et analyse en permanence le trafic du réseau de l’entreprise et l’activité des utilisateurs. Ces technologies aident les équipes de sécurité surchargées à détecter les cybermenaces en temps réel ou quasi réel et à y répondre avec un minimum d’intervention manuelle. Ces technologies sont les suivantes :
- Systèmes de détection d’intrusion (IDS)
- Systèmes de prévention des intrusions (IPS)
- Gestion des informations et des événements liés à la sécurité (SIEM)
- Logiciel d'orchestration, automatisation et réponse aux incidents de sécurité (SOAR)
- Détection et réponse des terminaux (EDR)
- Solutions de détection et de réponse étendues (XDR)
Mises en œuvre sur site ou dans un cloud hybride, les solutions de sécurité des données d’IBM vous aident à enquêter sur les cybermenaces et à y remédier, à appliquer des contrôles en temps réel et à gérer la conformité réglementaire.
La recherche proactive des menaces, la surveillance continue et l’examen approfondi des menaces ne sont que quelques-unes des priorités auxquelles doit faire face un service informatique déjà très occupé. Une équipe de réponse aux incidents fiable peut réduire votre temps de réponse, minimiser l'impact d'une cyberattaque et vous permettre de vous rétablir plus rapidement.
Protégez de manière proactive les systèmes de stockage primaires et secondaires de votre organisation contre les ransomwares, les erreurs humaines, les catastrophes naturelles, le sabotage, les pannes matérielles et autres risques de perte de données.
Le ransomware est une forme de logiciel malveillant qui menace de détruire ou de retenir les données ou les fichiers de la victime, sauf si une rançon est versée au pirate pour déchiffrer et restaurer l’accès aux données.
Ce rapport, qui en est à sa 17e édition, présente les dernières informations sur l'évolution des menaces et propose des recommandations pour gagner du temps et limiter les pertes.
RSSI, équipes de sécurité et dirigeants d'entreprise : découvrez comment les malfaiteurs mènent leurs attaques et comment protéger votre organisation de manière proactive.