2018 serait l'année la plus prolifique en matière d'atteintes à la vie privée et de fuites de documents

Après 2017, avec 5 milliards d'infos exposées

2018 serait l’année la plus prolifique en matière d’atteintes à la vie privée et de fuites de documents
Après 2017, avec 5 milliards d'infos exposées

Risk Based Security (RBS) est une entreprise étasunienne, basée à Richmond, qui est spécialisée dans la fourniture de services qui permettent d’identifier les risques de sécurité par secteur. Un nouveau rapport publié par cette entité montre une diminution non négligeable du nombre d’atteintes à la vie privée et de divulgations de documents résultant d’un accès non autorisé au cours de l’année 2018. Il ne précise, cependant, pas dans quelle mesure cette tendance à la baisse peut être rapportée à la mise en œuvre de règlements comme le RGPD qui sont censés favoriser la protection de la vie privée.


D’après Risk Based Security, en 2018, le nombre de documents sensibles compromis a diminué de plus d’un tiers comparé à 2017, passant de 7,9 milliards à environ 5 milliards de signalement, et plus de 6500 incidents ayant occasionné des divulgations résultant d’un accès non autorisé ont été rendus publics. Environ 66,6 % de ces incidents auraient concerné le secteur privé seul, contre 13,9 % pour les institutions gouvernementales, 13,4 % pour le secteur médical et 6,5 % pour le système éducatif.

Le nombre d’atteintes à la protection des données privées ayant effectivement été rendues publiques a donc diminué l’an dernier par rapport à 2017, parallèlement à l’entrée en vigueur au sein de l’Union européenne de réglementations plus strictes, notamment en matière de notification des atteintes à la protection des données.

Combien de jours entre la découverte d’une violation de données et son signalement par l’entreprise concernée ?

Le nombre moyen de jours entre la découverte d’une violation de données et son signalement était de 49,6 en 2018, en légère augmentation par rapport à 2017. Cela devrait être inquiétant pour les entreprises, étant donné que le GDPR entré en vigueur l’an dernier impose de signaler les violations de données aux autorités de réglementation compétentes dans les 72 heures qui suivent leur découverte.

Toutefois, il convient de noter que la fenêtre de 72 heures sert uniquement à signaler aux autorités de réglementation lesdites violations, mais pas au public. Les entreprises n’ont l’obligation d’informer les personnes concernées que s’il existe un risque élevé de préjudice. Le rapport de RBS étant basé sur une analyse des violations révélées publiquement, c’est peut-être pour cette raison que le RGPD a eu peu d’effet sur le délai moyen de notification observé.

Quelques violations qui ont marquées 2018

Les données fournies par RBS montrent, par ailleurs, que d’importantes violations se sont produites et ont impacté sur la vie privée de milliards de personnes en 2018 : 12 violations graves ont causé la fuite d’au moins 100 millions de documents sensibles et ont représenté 74 % de tous les documents exposés en 2018 qui ont été signalés.

La violation connue la plus grave aura sans doute été celle concernant la base de données nationale d’identité de l’Inde qui couvre environ 89 % de la population, connue sous le nom de Aadhaar. Cet incident signalé en mars 2018 a exposé les numéros d’identification nationaux, adresses, adresses électroniques, photographies et numéros de téléphone de près de 1,2 milliard de citoyens de ce pays. D’autres violations massives de données dues au piratage peuvent également être citées, à l’instar de celle ayant affecté jusqu’à 500 millions de clients du groupe hôtelier américain Marriott dont les dossiers de programmes de fidélisation étaient stockés dans la base de données de réservations Starwood.

Certaines fuites n’étaient pas liées à l’exploitation de failles de sécurité par les pirates, mais plutôt à des négligences internes liées notamment à des paramétrages de sécurité inappropriés permettant d’accéder aux données en ligne sans aucune restriction. Ce scénario a, par exemple, été observé avec l’entreprise étasunienne de marketing Exactis qui a perdu le contrôle de sa base de données en ligne et exposé 340 millions de personnes à cause d’une défaillance dans la configuration de sa base de données.

Une autre cause fréquente de violations est en rapport avec la fraude ou l’ingénierie sociale, dans laquelle des personnes internes à l’entreprise partagent intentionnellement ou accidentellement des données avec des tiers non autorisés ou sabotent volontairement le système de leur organisation. Le scandale où le cabinet de conseil politique Cambridge Analytica a obtenu des données de 87 millions de profils d’utilisateurs du réseau social Facebook via une application tierce et l’affaire dans laquelle un ex-employé pirate le plug-in WordPress WPML pour spammer les utilisateurs en utilisant une porte dérobée qu’il avait laissée sur le site pour son usage tombent dans cette catégorie.

Les causes de violation de données les plus fréquentes

Selon RBS, le piratage a été la cause de violations de données la plus répondue en 2018 puisqu’étant directement responsable de 4508 incidents, très loin devant le skimming (453), les divulgations liées au Web (268), l’hameçonnage (177) et les logiciels malveillants (160). Toutefois, en se basant sur le nombre d’enregistrements exposés par type de violation, la catégorie divulgations liées au Web arrive en pole position avec 39 %, suivie du piratage informatique avec 28 %, de la fraude avec 25 % et de la mauvaise gestion des données avec 7 %.

À ce propos, RBS a précisé dans son rapport que « avant 2017, le piratage informatique était le type de violation le plus couramment rencontré et le principal contributeur au nombre d’enregistrements exposés ». Mais cette tendance aurait commencé à changer en 2017 avec la montée en puissance des fuites de documents liées au Web.

La majeure partie des violations (5433) étaient dues à des vecteurs de menaces externes, 925 d’entre elles à des vecteurs internes, malveillants ou accidentels, et 157 avaient une cause inconnue. Malgré tout, les violations liées aux facteurs internes, tels que des services mal configurés et d’autres erreurs dans le traitement des données, ont causé l’exposition d’un nombre plus important de documents privés comparé à la piraterie : 2,6 milliards contre 1,7 milliard.

Pour cette année, RBS projette d’approfondir la corrélation entre la manière dont les violations sont découvertes — en externe ou en interne — et le temps nécessaire aux organisations pour les divulguer.

Source : Risk based security

Et vous ?

Que pensez-vous des informations présentées dans ce rapport ?
Quel scandale en rapport avec une violation de données privées vous a le plus marqué en 2018 ?

Voir aussi

RGPD : 59 000 atteintes à la protection des données signalées, mais seulement 91 amendes imposées depuis son entrée en vigueur, selon un rapport
Des groupes de pression poussent la FTC à démanteler Facebook, après les violations répétées de la vie privée des utilisateurs par la société
Les chefs d'entreprise US s'inquièteraient plus de la cybersécurité que d'une possible récession, à l'inverse de leurs homologues européens
Un serveur du département des valeurs mobilières de l'Oklahoma permettait à quiconque de télécharger des données gouvernementales confidentielles