Article
Qu’est-ce qu’une violation de données ?
Une violation de données est un incident de cybersécurité qui a pour conséquence l’exposition ou l’exfiltration d’une partie non autorisée, ou des atteintes à des données sensibles, confidentielles, privées ou protégées. Le terme « violation de données » est souvent utilisé à tort et confondu avec le terme « cyberattaque ».
La différence la plus notable entre une violation de données et une cyberattaque est qu’une violation de données est un genre d’incident de sécurité particulier qui aboutit à la compromission d’informations sensibles. Mais surtout, une violation de données, qui fait généralement référence à des informations numérisées, englobe les données conservées sur des supports physiques tels que les documents papier, les clés USB, les ordinateurs portables, les appareils électroniques mobiles et les disques durs externes. Une cyberattaque peut avoir pour conséquence une violation des données mais elle comprend d’autres actes malveillants tels qu’un déni de service sur serveur (en anglais « DDoS », pour « distributed denial of service »).
Des organisations de toutes sortes et de toutes tailles peuvent être victimes de violation de données, des petites entreprises aux grands groupes industriels, en passant par les hôpitaux, les établissements scolaires et les gouvernements, mais aussi des particuliers. Voici des informations qui sont couramment la cible de violation des données :
- Les informations financières, par exemple les coordonnées bancaires, les numéros de carte de crédit
- Les informations médicales personnelles (ISP), par exemple les historiques médicaux, les résultats d’analyses biologiques
- Les informations permettant l’identification personnelle (IPIP), par exemple les numéros de sécurité sociale, les numéros de permis de conduire
- Les secrets industriels, par exemple les codes sources, les formules
- D’autres informations confidentielles, par exemple des informations relatives aux clients, des documents juridiques.
Avec une violation de données, les informations peuvent être copiées ou transmises sans endommager la source. Une violation peut aussi entraîner une perte d’accès aux données due à un vol ou à un ransomware. Dans certains cas, les données peuvent simplement être détruites par vengeance ou par une tentative de créer une perturbation catastrophique.
Le coût d’une violation de données
Les conséquences d’une violation de données peuvent être des coûts matériels et immatériels. Autrement dit, une violation des données peut entraîner des coûts pécuniaires ou des coûts plus éphémères comme une atteinte à la réputation ou des pertes de chance.
Dans la plupart des cas, ces deux types de conséquences se produisent. Par exemple, suite à une attaque par ransomware, qui est une violation courante, une organisation peut être contrainte à verser de coûteuses rançons pour pouvoir recrouvrer l’accès à ses données, tandis qu’elle voit son image de marque ternie lorsque la nouvelle de la violation de données se propage.
Une violation des données a plusieurs autres coûts ou conséquences onéreuses. Et notamment :
- La perturbation d’opérations, qui nuit à la production et aux chaînes logistiques
- L’identification de la violation, sa limitation, son évaluation et les solutions pour y remédier, auxquelles viennent s’ajouter d’incontournables audits, les parties à informer et les changements à apporter dans les processus et les technologies pour empêcher de futurs incidents
- La perte de clients, qui s’interrogent sur la capacité de l’organisation à protéger des informations sensibles.
Mais ce n’est pas tout, l’entreprise doit supporter d’autres coûts :
- Les honoraires d’avocats
- Les amendes pour violation de conformité
- Les communications d’avis aux clients
- Les baisses du prix des actions pour les sociétés cotées en bourse
- Les augmentations des primes d’assurance
- La perte de propriété intellectuelle
- Les coûts des relations publiques.
Et, dernier point, les coûts d’une violation de données dépendent de la taille et du type d’organisation, ainsi que de la cause de la violation.
Pourquoi il y a des violations de données
Voici quelques-unes des raisons qui motivent les violations de données :
- Financières : pour voler de l’argent ou des biens de valeur pour les revendre
- Géopolitiques : pour viser un personnage politique ou un gouvernement afin de lui nuire ou de le déstabiliser
- Personnelles : pour se venger d’un acte perçu comme préjudiciable ou qui l’est effectivement
- Pour des raisons de notoriété : pour démontrer des prouesses techniques (par exemple pirater un système célèbre)
Dans le cas de cybercriminels, la première motivation est le gain financier. Par exemple, ils revendent ou échangent couramment sur le dark web des informations dérobées par effraction. Ces informations peuvent également servir à :
- Faire des demandes d’allocation
- Déposer de fausses déclarations d’impôt pour obtenir des remboursements
- Créer des documents falsifiés (par exemple des permis de conduire, des passeports, etc.)
- Ouvrir et utiliser des cartes de crédit neuves
- Retirer de l’argent sur des comptes bancaires ou d’investissement.
Comment se produisent les violations de données
Les violations de données se produisent se produisent de multiples façons. En voici quelques exemples courants :
Les violations de données sont ciblées, elles visent des personnes ou des organisations bien précises pour obtenir des informations sensibles. Elles emploient les tactiques suivantes :
- Une fuite ou une exposition accidentelle de données
- Un cloneur de carte et une intrusion sur point de vente
- Des attaques menant à un déni de service sur serveur (DdoS)
- L’erreur humaine
- La perte ou le vol d’appareils électroniques.
- Des menaces internes
- Un malware
- Le décodage du mot de passe
- Le hameçonnage
- L’effraction physique
- Les ransomwares
- L’enregistrement de touches activées
- L’ingénierie sociale
- Le harponnage
- L’injection de langage SQL (langage de requête structurée)
- Des informations de connexion volées ou compromises
- L’exploitation de failles.
Quel que soit le vecteur, les cybercriminels suivent généralement le même genre de tactique pour mener à bien leur violation de données. Voici les grandes étapes d’un plan de violation de données :
- Observer les cibles potentielles.
Les cybercriminels commencent par trouver des cibles, puis ils identifient leurs points de vulnérabilité techniques. Par exemple, des faiblesses dans les systèmes de sécurité, des points d’entrée ouverts ou des protocoles accessibles. Dans d’autres cas, ils planifient des campagnes d’ingénierie sociale qui peuvent viser des groupes importants (c’est-à-dire par hameçonnage) ou des particuliers (c’est-à-dire par harponnage), qui ont un accès privilégiés aux systèmes. - Mettre une violation de sécurité à exécution.
L’agresseur opère une violation de sécurité sans rencontrer d’obstacles et accède aux systèmes et aux réseaux. - S’emparer de l’accès.
Si le système visé ne livre pas l’accès désiré, les cybercriminels font appel aux va-et-vient entre réseaux et aux remontées de privilèges pour accéder à d’autres systèmes et comptes d’utilisateurs et les compromettre. - Perpétrer la violation de données.
Une fois que les données sensibles désirées ont été repérées, les agresseurs les exfiltrent pour en venir à leurs fins malhonnêtes : par exemple les revendre sur le marché noir ou le dark web ou les détenir contre une rançon.
Exemples de violations de données
Une violation des données prend de multiples voies. Voici plusieurs exemples de violations qui ont abouti.
Dans une attaque visant une entreprise de la grande distribution, les cybercriminels ont accédé à des données sensibles en s’introduisant par les caisses. Un cryptage faible avait été utilisé pour sécuriser le réseau. Les malfaiteurs sont parvenus à décrypter le réseau sans fil, puis ils sont passés des caisses des magasins aux systèmes de gestion. Suite à cette violation de données, plus de 250 000 données de clients ont été compromises.
Lors d’un autre incident, plusieurs milliards de personnes ont été victimes d’une divulgation de leur nom, leur date de naissance, leur adresse électronique et leur mot de passe. Dans ce cas, les cybercriminels ont exploité une faille dans un système de cookies utilisé par l’organisation.
Dans un autre exemple, c’est le système de contrôle du réseau d’une organisation qui a servi de vecteur à l’effraction. Les malfaiteurs ont réussi à s’en saisir pour distribuer un malware à ses clients sans qu’elle s’en aperçoive. Ensuite, ils ont infiltré ses systèmes de gestion des clients pour accéder à des informations sensibles.
Une autre organisation s’est trouvée compromise par la vente par un salarié d’un mot de passe sur le dark web, acheté par un cybercriminel. Ce seul mot de passe lui a suffi à pénétrer par effraction sur le réseau et à lancer une attaque par ransomware, qui a coûté des millions de dollars à l’organisation.
Un problème survenu avec le hachage utilisé par une entreprise pour chiffrer les mots de passe de ses utilisateurs l’a ensuite contrainte à demander à des centaines de millions d’utilisateurs de modifier leur mot de passe pour colmater la brèche.
Une référence directe à des objets non sécurisés (RDONS) a rendu vulnérables près d’un milliard de documents sensibles. Il s’agissait d’une erreur de conception dans un site web, censée mettre un lien à la disposition d’une personne précise, mais ce lien est passé dans le domaine public, mettant les documents à la portée de tous.
La prévention contre la violation de données
Quand ils sont efficaces, les programmes de prévention contre la violation de données utilisent une défense à plusieurs niveaux, qui superpose outils technologiques et processus. Nous détaillons ci-dessous plusieurs des multiples constituants d’une stratégie de défense contre la violation de données.
La formation théorique et pratique
La première cause de violation des données est une effraction qui commence par un vecteur humain. En raison des faiblesses qui leur sont inhérentes, les êtres humains sont couramment considérés dans toute stratégie de prévention contre la violation des données comme le maillon le plus faible.
Pour lutter contre cet aspect, des formations à la sécurité sont impératives. Les salariés ont besoin d’apprendre à reconnaître les effractions et à les éviter (par exemple le hameçonnage), et à savoir comment traiter les données sensibles pour empêcher des violations accidentelles et des fuites de données.
La détection et l’intervention aux points terminaux
La détection et l’intervention aux points terminaux (EDR), qu’on appelle aussi « détection des menaces et réponse aux points terminaux » (ETDR) apporte une solution intégrée pour la sécurité des terminaux. Pour prévenir une violation de données, l’EDR combine la surveillance en temps réel et le recueil de données au point terminal à des fonctionnalités de réaction automatisée basées sur des règles afin d’identifier les cyberattaques et les neutraliser.
La gestion des identités et des accès (IAM)
Les solutions de gestion des identités et des accès (IAM) constituent un puissant moyen de défense contre une violation des données. Parmi les solutions d'IAM, citons : des mots de passe difficiles à deviner, des gestionnaires de mot de passe, , l'authentification bifactorielle (2FA) ou l'authentification multifactorielle (MFA), l'authentification unique (SSO) et l’accès basé sur les rôles. Par ces technologies et ces processus, les organisations sont armées pour prévenir les tentatives de violation des données grâce à des identifiants volés ou compromis.
Plans d’intervention pour incident
La préparation est l’une des meilleures défenses contre la violation de données. Un plan d’intervention pour incident comporte des instructions détaillées sur la façon de traiter une violation, avant, pendant et après un incident, qu'il soit suspecté ou avéré.
Un plan d’intervention pour incident définit les rôles et les responsabilités et indique les mesures à prendre pour chaque phase.
L’efficacité de ce plan est démontrée dans les plans de défense contre les violations de données. Il peut raccourcir la durée de résolution du problème et de reprise de l’activité, et limiter les coûts de la violation.
L’authentification multifactorielle (MFA)
L’utilisation de l’authentification multifactorielle (MFA) permet de surmonter les faiblesses inhérentes aux utilisateurs et aux mots de passe. Avec la MFA, l’utilisateur doit passer par une identification en plusieurs étapes plutôt que de renseigner simplement son nom d’utilisateur et son mot de passe.
Avec la MFA, il y a d’autres étapes que doit franchir l’utilisateur pour faire vérifier son identité. Par exemple, il pourra avoir à saisir un code envoyé par e-mail ou sms, répondre à une question secrète ou se soumettre à une numérisation biométrique (du type empreinte digitale, scan du visage ou de la rétine).
Les tests d’intrusion
Les tests d’intrusion, que l’on appelle aussi « pentestings » (pour « penetration testing » en anglais), ou « piratage éthique », procèdent par simulation de cyberattaques pour tester les systèmes et y repérer des failles exploitables. Les « pentesters » utilisent des outils, des techniques et des processus identiques à ceux des cybercriminels pour simuler des intrusions calquées sur la réalité et susceptibles de donner lieu à une violation.
Les mises à jour logicielles et les correctifs de sécurité
Les mises à jour des logiciels et des systèmes d’exploitation et les correctifs doivent toujours être installés dès leur sortie. Elles comportent souvent des correctifs pour remédier aux failles susceptibles d’entraîner des violations de données.
Les mots de passe difficiles à deviner
Le recours à des mots de passe difficiles à deviner élimine un vecteur courant des cyberattaques. Sachant que les gens utilisent souvent des mots de passe dits « faibles », les cybercriminels exploitent souvent cette faille (par exemple par pulvérisation des mots de passe). Les mots de passe dits « forts », alliés à des règles obligeant les utilisateurs à les renouveler souvent et à ne pas utiliser les mêmes pour des applications et services différents, favorisent une défense efficace contre les tentatives de violation des données.
L’approche « zero trust »
Selon l’approche dite « confiance zéro » (confiance zéro) de la sécurité, il ne faut faire confiance à aucun utilisateur ni à aucun système, même s’ils font partie d’un réseau. Voici les principaux éléments de cette approche :
- L’authentification continue, l’autorisation et la validation de d’un utilisateur ou d’un système qui tente d’accéder à un réseau ou à une ressource sur un réseau
- L’accès du moindre privilège, qui n’autorise que l’accès minimum nécessaire pour une tâche ou un rôle
- La surveillance globale de toute l’activité du réseau
L’atténuation des violations de données
Une intervention globale et dans les plus brefs délais est capitale lorsqu’une violation des données est détectée.
- Minimisez l’impact de la violation.
Arrêtez la propagation en isolant les systèmes ou réseaux touchés et en fermant tous les comptes compromis, y compris ceux qui ont été utilisés pour accéder aux données. De cette façon, vous stoppez net l’exposition d’informations supplémentaires et vous empêchez les va-et-vient entre réseaux. - Procédez à une évaluation.
Déterminez la cause de l’effraction pour savoir si la première intrusion pourrait faire courir d’autres risques, par exemple la compromission de comptes d’utilisateurs ou de systèmes ou un logiciel malveillant inactif qui risquerait de passer à l’attaque. - Restaurez les systèmes et comblez les failles.
Utilisez de nettoyages des sauvegardes et, dans certains cas, de nouveaux systèmes pour reconstruire et restaurer les systèmes piratés. C’est à ce moment-là qu’il convient de procéder à toutes les mises à jour de sécurité disponibles pour remédier à la vulnérabilité responsable de la violation de données. - Avertissez les tiers concernés.
Une fois que l’envergure et la portée de la violation ont été déterminées, il convient de prévenir les parties touchées. Selon le type d’organisation et les informations compromises, l’ampleur de cette tâche peut être variable : d’une simple information des cadres et des salariés elle peut aller jusqu’à un avertissement à tous les clients et la publication d’une déclaration publique. - Gardez la trace des enseignements tirés.
Pour empêcher une future violation de données, il est important de documenter ce que la violation vous a appris. Ces informations ou connaissances devraient servir à revoir les systèmes et pratiques en place et être conservées pour s’y référer ultérieurement.
La préparation limite les risques de violation de données
Les violations de données sont généralement considérées comme l’un des incidents de cybersécurité les plus courants et les plus coûteux. Elles touchent des organisations de toutes tailles et de toutes zones géographiques et peuvent avoir des conséquences considérables, qui entraînent un préjudice tant financier que physique.
La meilleure défense contre la violation des données est la préparation ; notamment en mettant en place de puissants boucliers techniques et de robustes processus, de façon à pouvoir la détecter et y réagir de bonne heure.
Il a été maintes fois démontré que les organisations dotées de systèmes de défense et de plans d’intervention à toute épreuve se rétablissaient plus vite et que leurs dommages étaient moins conséquents.
Outre la mise en œuvre des bons outils et des bonnes procédures, il est important de tester tous les systèmes. Devancer les problèmes permet de détecter les points de vulnérabilité avant qu’une violation des données ne se produise. Prendre des mesures pour détecter et remédier aux points vulnérables, et faire des répétitions des plans d’intervention, contribue largement à protéger les informations sensibles contre une violation.