Le baromètre Data Breach, animé par le Forum International de la Cybersécurité (FIC) en partenariat avec PwC, Bessé et la participation de la CNIL, vient de paraître. Il met en lumière les fréquences et les risques des violations de données pour les entreprises. Le baromètre se fonde sur les notifications des violations de données effectuées auprès de la CNIL et publiées en open data.
L'étude commence par rappeler quelques chiffres en matière de violations des données, en comparant notamment les chiffres du premier semestre 2019 au second semestre 2018. On constate ainsi que les violations sont passées de 4,5 à 5,7 par jour entre le S2 2018 et le S1 2019.
Le nombre de notifications effectuées à la CNIL a lui aussi augmenté par rapport à 2018, pour un total de 1035. Il n'est en revanche pas précisé si cette augmentation est due à une augmentation du nombre de violations dans les faits, ou simplement un plus grand respect de l'obligation de notification à la CNIL.
L'article 4.12 du RGPD définit ainsi la violation de données : "Une violation de données à caractère personnel est constituée par tout incident de sécurité, accidentel ou illicite, entraînant l’altération, la destruction, la perte ou la divulgation de données à caractère personnel."
Ainsi, tout organisme traitant des données personnelles doit mettre en place des mesures pour prévenir les violations de données, mais aussi réagir correctement et rapidement le cas échéant (art. 33 et 34 du RGPD).
Les violations de données peuvent engendrer des pertes financières importantes
Ces pertes financières peuvent être causées par des sanctions, qu'elles soient pénales ou administratives, ou dues tout simplement par l'attaque en elle-même. Les sanctions peuvent effectivement atteindre des montants très élevés (jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaire).
En outre, les entreprises peuvent aussi subir des pertes financières pendant ou l'après l'attaque pour plusieurs raisons, comme le notent les auteurs de l'étude. Tout d'abord, même si les attaques portant atteinte à la confidentialité des données sont plus nombreuses, il est aussi possible qu'une attaque porte atteinte à la disponibilité ou l'intégrité des données. En pratique, cela signifie que des données ont été modifiées ou qu'elles sont indisponibles.
Dans ces cas de figure, l'entreprise ne peut poursuivre son activité normalement, car elle aura nécessairement besoin d'accéder à ses données ou aux données de ses clients à un moment ou un autre. Elle ne pourra donc reprendre son activité qu'une fois la crise résolue.
De même, l'étude note que les problématiques financières peuvent aussi arriver après l'attaque : l'entreprise doit souvent remettre ses systèmes en marche voire dédommager ses clients potentiellement atteints. La réputation de l'entreprise peut aussi être atteinte. Enfin, la violation des données peut avoir comme conséquence des suites judiciaires à la suite d'une plainte ou de non-respect des principes du RGPD.
Tous les secteurs sont touchés, mais pas dans les mêmes proportions
Les auteurs de l'étude notent qu'aucun secteur n'est réellement à l'abri d'une attaque. En revanche les chiffres montrent que certains secteurs sont plus touchés que d'autres. Ainsi, si au total plus de 1 615 211 personnes ont été concernées par des violations de données entre juin 2018 et juin 2019, cela a surtout concerné les secteurs de l'information-communication (17 %), des activités scientifiques et techniques (16 %) et du commerce (12 %).
En comparaison certains secteurs sont beaucoup moins affectés, comme l'enseignement (5 %) ou le transport (3 %).
54 % des violations de données sont dues à un acte de malveillance
Parmi elles, 15 % sont dues à un vol physique et près de 70 % à un piratage en ligne. 26 % de violations de données sont accidentelles. Les 20 % restants sont d'origine inconnues ou autres.
Comme le souligne dans l'étude Thierry Delville (associé Cyber Intelligence, PwC France), selon Europol, "le spear phishing représenterait 65 % des primo-infections relevées chez les entreprises victimes".
Si le phishing est une "attaque indifférenciée adressée à un nombre important de victimes", le spear phishing quant à lui est une attaque personnalisée, visant une victime précise.
Effectivement, en ce qui concerne le spear phishing, l'attaquant "cible sa future victime, lui adresse un mail personnalisé, après avoir travaillé sur son environnement (ingénierie sociale)".
Nous sommes passés d'attaques générales, adressées à un grand nombre de personnes et d'entreprises, où le but n'est pas la finesse mais plus de multiplier ses chances de succès en approchant un maximum de victimes potentielles, à des attaques beaucoup plus sophistiquées, ciblées, et donc forcément plus compliquées à détecter.
Les auteurs de l'étude insistent bien sur le fait que le facteur humain est primordial pour prévenir les violations de données. En effet, dans le top 3 des incidents les plus courants, on retrouve :
- Les intrusions dans les systèmes
- Les publications involontaires d'informations
- Les données personnelles envoyées à un mauvais destinataire
Si dans le premier cas, les attaques externes malveillantes sont majoritaires, en revanche dans les deuxième et troisième cas ce sont les actes accidentels (internes ou externes) qui arrivent en tête. D'où l'importance de sensibiliser le personnel à la cybersécurité, puisque qu'une erreur humaine peut soit permettre une attaque (en téléchargeant une pièce-jointe ou en cliquant sur un lien dans un mail), soit engendrer directement une violation des données de façon accidentelle.
Cinq mesures préventives aux violation de données
Qu'elles soient accidentelles ou malveillantes, les auteurs de l'étude pointent cinq mesures pour prévenir les violations :
- Sensibiliser son personnel aux techniques de phishing (quelles qu'elles soient)
- Sensibiliser le personnel aux verrouillages d'écran
- Interdire d'utiliser son adresse mail professionnelle pour une autre activité
- Appliquer les principes du moindre privilège et du cloisonnement
- Utiliser des technologies de protection des données (chiffrement, vérification de l'authenticité)
Enfin, en cas d'attaque avérée, l'étude indique qu'il est "essentiel de collecter des informations sur la violation de données et de la documenter en interne (nombre de personnes touchées, leur catégorie, etc.). Ce premier travail permet d’anticiper les conséquences de la violation et de prendre les mesures adéquates." Il est aussi obligatoire de notifier la violation des données à la CNIL (sous un délai de 72 heures).
Raphaël Lichten