Par rapport à 2017, le nombre d'atteintes à la protection des données a diminué l'an dernier, du moins celles qui ont été effectivement rendues publiques, malgré la stricte obligation de notification désormais en vigueur en Europe. Le nombre de documents sensibles compromis a également diminué de plus d'un tiers, passant de 7,9 milliards à environ 5 milliards. Selon un rapport du fournisseur de services de sécurité Risk Based Security (RBS), plus de 6 500 incidents ayant entrainé des fuites de données ont été rendus publics l'an dernier. 66,6 % concernaient le secteur privé, 13,9 %, les institutions gouvernementales, 13,4 % le secteur médical et 6,5 % le système éducatif.
Les données recueillies et analysées par RBS montrent que de très graves atteintes à la vie privée continuent de se produire et qu'elles ont un gros impact sur la vie privée des personnes. En 2018, 12 atteintes à la vie privée ont entrainé la fuite d'au moins 100 millions de documents sensibles. Ces atteintes comptent pour 74 % de tous les documents exposés au cours de l'année. La plus grande fuite de données, et de loin, a concerné la base de données nationale d'identité de l'Inde, connue sous le nom d'Aadhaar. Suite à cet incident signalé en mars 2018, les numéros d'identification nationaux, les adresses, les numéros de téléphone, les adresses électroniques, les codes postaux et les photographies de près de 1,2 milliard de citoyens indiens ont été exposés au public.
Les hôtels sont de véritables passoires
Mais il y a eu d'autres violations importantes, comme l'accès par des pirates informatiques à 383 millions de dossiers de programmes de fidélisation stockés dans la base de données de réservations Starwood du groupe hôtelier américain Marriott et à 240 millions de dossiers de personnes ayant séjourné dans les hôtels du groupe chinois Huazhu Hotel Group. Dans certains cas, les fuites de données n'étaient pas liées à l'exploitation de failles de sécurité par les pirates : à cause de défauts dans les paramétrages de sécurité, les données étaient ouvertement accessibles depuis le Web. C'est ce qui s'est passé avec l'entreprise américaine de marketing Exactis qui a exposé les données personnelles de 230 millions de personnes et 110 millions de contacts d'affaires à cause d'une défaillance dans la configuration de sa base de données.
La fraude ou l'ingénierie sociale sont d'autres motifs courants d'infractions. Ce type de fuite résulte d'un partage intentionnel ou accidentel de données par des personnes de l'entreprise avec des tiers non autorisés. L'accès et l'usage par le consultant Cambridge Analytica des données de 87 millions de profils d'utilisateurs Facebook via une application tierce entrent dans cette catégorie.
Le piratage, première cause des fuites
Selon l'analyse de RBS, l'an dernier, le piratage informatique représentait toujours la cause la plus fréquente des atteintes à la protection des données. En 2018, les actes de piratage étaient directement responsables de 4 508 incidents. Viennent ensuite le skimming ou écrémage, une fraude à la carte bancaire (453), les fuites liées au Web (268), le phishing (177) et les logiciels malveillants (160). Cependant, en nombre de documents exposés, ce sont les fuites Web qui arrivent en tête avec 39 %, suivies du piratage informatique avec 28 %, de la fraude avec 25 % et de la mauvaise utilisation des données avec 7 %. « Avant 2017, le piratage informatique était à l'origine de la majorité des fuites de données », ont déclaré les analystes de RBS dans leur rapport. « Cette tendance a commencé à changer en 2017. Depuis cette année-là, les fuites de documents liées au web ont pris le relais et restent le premier motif de fuite en 2018 ». La majorité des atteintes (5 433) résultaient toujours de vecteurs d'attaques externes, 925 de menaces internes - tant malveillantes qu'accidentelles - et 157 de causes inconnues. Cela dit, les fuites ayant pour origine des facteurs internes, par exemple une mauvaise configuration des services et des erreurs dans l'usage des données, se sont traduites par une divulgation beaucoup plus importante de données que celles volées par les pirates : 2,6 milliards de documents exposés, contre 1,7 milliard pour les données volées.
Enfin, en 2018, le nombre moyen de jours qui se sont écoulés entre la découverte d'une atteinte à la protection des données et la déclaration aux autorités règlementaires était de 49,6, soit en légère augmentation par rapport à 2017. Ce chiffre devrait inquiéter les entreprises, étant donné que le règlement général sur la protection des données (RGPD) entré en vigueur en Europe l'an dernier exige que les infractions soient signalées aux autorités dans les 72 heures après leur découverte. Toutefois, il convient de noter que le délai de 72 heures ne s'applique qu'aux rapports destinés aux organismes de réglementation, et non au public. Les entreprises n'ont l'obligation d'informer les personnes affectées par une fuite que si le préjudice potentiel est important. Parce que le rapport de RBS est basé sur une analyse des infractions rendues publiques, le RGPD a probablement eu peu d'impact sur le délai moyen de déclaration observé. Pour 2019, RBS prévoit de regarder de plus près la corrélation entre la manière dont les atteintes sont découvertes - en externe ou en interne - et le temps qu'il faut aux entreprises pour informer les autorités et le public sur les fuites de données. « Très probablement, les entreprises qui parviennent à mettre au jour les infractions seront aussi les mieux préparées à y répondre », a déclaré le fournisseur.
Commentaire