Définition de la compromission de données
Une compromission de données est un incident de sécurité durant lequel des informations appartenant à une entité sont dérobées, reproduites, consultées ou divulguées illégalement par une personne ou un groupe non autorisés.Les types de données couramment ciblées incluent les informations personnelles identifiables (IPI), les informations confidentielles, les informations financières et d’autres données sensibles.
Comment les compromissions de données se produisent-elles ?
Toute organisation détenant des données sensibles peut faire l’objet d’une compromission de données, quel que soit sa taille ou son secteur d’activité. Les méthodes d’attaque peuvent varier, mais toutes les compromissions de données suivent quatre grandes étapes :
| 1. Planification | 2. Intrusion | 3. Positionnement | 4. Exfiltration |
|---|---|---|---|
| Les cybercriminels recherchent et étudient une organisation cible, en sondant les systèmes et en identifiant les vulnérabilités. | Une fois la faiblesse identifiée, ils utilisent une tactique d'accès telle que le phishing pour pénétrer dans un système. | Les cybercriminels se déplacent ensuite dans le réseau de l'organisation victime, selon leurs besoins, pour recueillir des données cibles. | Les données sont copiées ou extraites du système. Ceci peut se produire immédiatement après une première intrusion ou des mois plus tard. |
Pour boucler ce cycle, les cybercriminels utilisent de nombreuses tactiques pour obtenir des données. En voici quelques exemples :
Identifiants volés ou compromis : le cybercriminel utilise les identifiants d’un utilisateur légitime, tels que son nom d’utilisateur et son mot de passe, pour accéder à un système cible.
Phishing : e-mail malveillant utilisant l’ingénierie sociale pour manipuler le destinataire afin qu’il ou elle donne à l’expéditeur des informations sensibles comme des identifiants ou l’accès à un réseau informatique plus vaste.
Compromission d’un logiciel tiers : exploitation d’une faille dans un logiciel utilisé par l’organisation ciblée. Par exemple, l’exploitation d’une faille dans le code de Microsoft Word pour accéder au réseau d’une entreprise.
Utilisateur interne malintentionné : personne au sein de l’organisation ciblée qui utilise intentionnellement son accès pour voler des données ou aider d’autres personnes à dérober des données.
Perte accidentelle de données : il peut s’agir ici de la publication accidentelle de données sensibles sur Internet, de la divulgation involontaire par un utilisateur légitime de ses identifiants, de la perte de matériel et d’autres incidents.
Les 5 principaux types de compromission de données survenus en 2022
Selon une étude de l’Institut Ponemon, les méthodes de compromission les plus courantes sont les suivantes :
- 19 % : vol ou compromission d’identifiants
- 16 % : phishing
- 15 % : erreurs de configuration du cloud
- 13 % : compromission de logiciels tiers
- 11 % : utilisateur interne malveillant
Conséquences d’une compromission de données
Il est fréquent que les compromissions de données perdurent pendant plusieurs mois avant d’être détectées par l’organisation victime, entraînant ainsi des coûts de récupération souvent estimés à plusieurs millions de dollars. Voici quelques-unes des principales conséquences de ce type d’incident :
- 4,35 millions de dollars : coût moyen d’une compromission de données au niveau mondial en 2022, un record absolu. (Rapport IBM)
- 9,44 millions de dollars : coût moyen d’une compromission de données aux États-Unis en 2022, le plus élevé de tous les pays.
- (Rapport IBM)
- 277 jours : délai moyen pour identifier et contenir une compromission de données en 2022. Plus précisément, il faut 207 jours pour identifier la compromission et 70 jours pour l’endiguer. (Rapport IBM)
- Perte de confiance des clients et atteinte à la réputation de l’organisation concernée sur le long terme.
- Incapacité de mener à bien les activités, notamment à cause de retards importants et de l’arrêt complet des opérations.
- Autres attaques. Parfois, une compromission de données initiale n’est que la première étape d’une campagne d’intrusion plus longue visant une organisation.
Exemples de compromissions de données récentes et ayant fait les gros titres
Yahoo, août 2013 : largement considérée comme la plus grande compromission de données de tous les temps avec 3 milliards de comptes impactés. En 2013, l’entreprise a communiqué une première évaluation de 1 milliard de comptes, puis en 2017, elle a porté ce chiffre à 3 milliards, ce qui illustre la complexité d’évaluer de manière précise les conséquences d’une compromission après sa survenue. Les pirates ont dérobé notamment des données telles que les noms, les adresses électroniques, les dates de naissance et les mots de passe
Solar Winds, avril 2021 : une mise à jour de routine du logiciel Orion de la société s’est révélée être une tactique d’intrusion malveillante de la part de pirates soutenant les services de renseignement russes. D’après Solar Winds, cette fausse mise à jour aurait été téléchargée par 18 000 personnes, entraînant ainsi la compromission d’une centaine d’entreprises et d’une dizaine d’agences gouvernementales.
LinkedIn, juin 2021 : le réseau social pour les professionnels a constaté que 90 % de ses utilisateurs étaient touchés lorsque des données associées à 700 millions de ses membres ont été publiées sur un forum du dark web. Un groupe de pirates a exécuté des tactiques d’extraction de données pour exploiter l’API de LinkedIn et récupérer des informations telles que des adresses e-mail, des numéros de téléphone, des enregistrements de géolocalisation, et plus encore.
11 conseils pour éviter une compromission des données
Le moment est venu de sécuriser et de préparer votre organisation dès à présent afin de prévenir toute atteinte à la confidentialité de vos données. La question n’est pas de savoir si vous serez visé, mais quand.
1. Mettez en place un plan d’intervention en cas de compromission des données
Un plan efficace doit établir les bonnes pratiques, définir les rôles et responsabilités clés, et déterminer un processus pour la réponse de l’organisation. Concentrez-vous sur la restauration de la confidentialité, de l’intégrité et de la disponibilité des données et des systèmes ; et prenez contact avec une compagnie d’assurance ou les autorités policières.
2. Élaborez une stratégie et une feuille de route pour protéger votre cybersécurité
Après avoir pris connaissance des risques auxquels votre organisation est exposée et des failles de vos mesures de protection, établissez des objectifs visant à réduire ces risques. Donnez la priorité à ces efforts dans le cadre d’une feuille de route stratégique visant à améliorer votre cybersécurité dans son ensemble.
3. Renforcez votre équipe informatique avec une expertise et des ressources évolutives en matière de cybersécurité
Les cybertalents sont difficiles à trouver et coûteux à retenir. Les consultants en sécurité ont accès aux techniques de surveillance les plus récentes afin de guider votre stratégie de cybersécurité et votre réponse à toute intrusion ou tout événement détecté.
4. Identifiez, isolez et enregistrez l’accès aux données stratégiques
Concentrez vos ressources limitées sur les zones du réseau les plus critiques pour votre entreprise. Déterminez où se trouvent vos données ou vos réseaux les plus sensibles et mettez en place une journalisation et une surveillance accrue du réseau. Contrôlez activement l’accès au réseau.
5. Exécutez les mises à jour logicielles
L’application de correctifs aux systèmes d’exploitation et aux applications tierces est l’un des moyens les moins coûteux et les plus efficaces de renforcer un réseau. Établissez un protocole rigoureux de gestion des correctifs et assurez-vous de procéder à l’installation des correctifs de sécurité indispensables dans les meilleurs délais. Mettez à jour les logiciels et systèmes existants.
6. Gérez rigoureusement les identifiants des utilisateurs
L’actualité est émaillée d’entreprises qui n’ont pas suffisamment protégé les comptes de leurs utilisateurs. Des mots de passe sont régulièrement signalés comme étant mis en vente sur le darknet. Si votre organisation gère des comptes d’utilisateurs, vérifiez les fonctions de stockage des mots de passe.
7. Exigez une authentification à deux facteurs (2FA) lors de la connexion
L’accès à distance à votre réseau doit toujours nécessiter une authentification à deux facteurs. Envisagez également d’exiger le 2FA pour les comptes administratifs sensibles.
8. Modifiez les mots de passe par défaut
L’une des cyberattaques les plus simples consiste à utiliser un mot de passe par défaut fourni par un fournisseur. Les mots de passe par défaut, en particulier pour les appareils matériels (par exemple, les routeurs Wi-Fi), peuvent permettre un accès direct aux données critiques.
9. Formez-vous pour vous préparer au pire
Tester sa préparation avec des exercices de simulation en salle offre d’immenses avantages lorsqu’il s’agit d’être opérationnellement prêt pour une compromission de données. En se concentrant sur les rôles, les responsabilités et les étapes d’un plan exhaustif de réponse aux incidents, une équipe peut se préparer à agir et à identifier les éventuelles lacunes.
10. Sensibilisez votre personnel
La formation et la sensibilisation de votre personnel permettent d’améliorer et d’étendre les compétences en matière de cybersécurité. Pensez à suivre des formations sur le Threat Hunting pour adopter une approche proactive dans la détection des tentatives d’intrusion.
11. Encouragez le partage d’informations
Les organisations dotées de services internes de lutte contre la fraude et de sécurité informatique sont souvent plus aptes à détecter les compromissions et à y répondre. Encouragez le partage régulier d’informations au sein de votre organisation.
Protégez vos données avec CrowdStrike Falcon
Les compromissions de données sont fréquentes et la sécurité de votre organisation dépend de la vigilance de votre personnel pour détecter les cybermenaces. Essayez gratuitement la plateforme logicielle leader du secteur. Commencez à protéger vos données aujourd’hui.
