Violation de données (data breach)
Qu’est-ce qu’une violation de données personnelles ? Quelles mesures les organisations doivent-elles prendre pour minimiser les risques ?
Une violation de données est un incident confirmé au cours duquel des informations ont été volées ou prises dans un système à l’insu ou sans l’autorisation de son propriétaire. Il existe une multitude de raisons pour lesquelles les pirates informatiques veulent mettre la main sur des données sensibles, mais le plus souvent, il s’agit d’argent. La cybercriminalité est une activité lucrative et nos données peuvent être utilisées pour commettre une usurpation d’identité ou être vendues pour une somme rondelette sur le dark web.
Une violation de données peut également survenir de manière accidentelle par la perte d’un ordinateur portable, la perte de documents ou l’envoi d’un courriel à la mauvaise personne, mais les attaques ciblées sont généralement menées de l’une des manières suivantes :
- Exploitation des vulnérabilités du système – Les pirates font souvent des recherches et effectuent une reconnaissance complète d’une entreprise avant de lancer une attaque. Ils analysent méthodiquement un réseau à la recherche d’éventuelles faiblesses en matière de sécurité et, dès qu’ils repèrent une zone à exploiter, ils lancent une attaque ciblée pour infiltrer le réseau.
- Ingénierie sociale (social engineering) – Plutôt que de recourir aux attaques de piratage traditionnelles, les cybercriminels profitent de notre nature humaine confiante pour nous inciter à enfreindre les pratiques de sécurité normales. Ces types d’attaques sont de plus en plus fréquents et s’avèrent être un moyen très efficace pour les pirates d’obtenir un accès non autorisé aux réseaux informatiques et aux données sensibles.
Les méthodes les plus fréquemment utilisées sont les suivantes :
- Hameçonnage (phishing) – L’hameçonnage ou phishing reste l’attaque d’ingénierie sociale la plus populaire en raison de son taux de réussite élevé. 72 % des violations de données sont liées à la réception d’e-mails de phishing par des employés. Les attaquants se font généralement passer pour une entreprise légitime afin d’inciter un employé à divulguer des informations sensibles.
- Logiciels malveillants (malwares), virus et logiciels espions – Les logiciels malveillants, les virus et les logiciels espions représentent 33 % de toutes les violations de données. Ils s’installent sur un ordinateur lorsqu’un utilisateur clique sur un lien, télécharge une pièce jointe malveillante ou ouvre un logiciel malveillant. Une fois installés, les attaquants peuvent utiliser les logiciels malveillants pour espionner les activités en ligne, voler des informations personnelles et financières ou utiliser l’appareil pour pirater d’autres systèmes.
- Mots de passe – Les mots de passe faibles et peu sûrs sont un moyen facile pour les pirates d’accéder à un réseau. Les pirates sophistiqués utilisent même des logiciels spécialisés qui leur permettent de tester des milliers de combinaisons possibles de noms d’utilisateur et de mots de passe.
Prévention d’une violation de données ou data breach
Les organisations doivent élaborer une stratégie de sécurité informatique solide et complète qui protégera les données sensibles, réduira les menaces et veillera à ce que la réputation d’une organisation reste intacte.
Pour réduire le risque de violation des données, les organisations doivent prendre un certain nombre de mesures :
- Mettre à jour les logiciels de sécurité – Les logiciels de sécurité doivent être régulièrement mis à jour pour empêcher les pirates d’accéder aux réseaux grâce aux vulnérabilités des systèmes plus anciens et obsolètes. C’est exactement de cette manière que les pirates ont pu accéder aux données de plus de 143 millions d’Américains lors de la tristement célèbre violation de données d’Equifax en 2017. Un correctif pour cette vulnérabilité a été mis à disposition deux mois avant la brèche, mais l’entreprise n’a pas mis à jour son logiciel.
- Audits réguliers et évaluations des risques – Le RGPD précise que les organisations doivent effectuer des audits réguliers des activités de traitement des données et se conformer à un ensemble de principes de protection des données qui permettront de sauvegarder les données. Cela permettra de s’assurer de la mise en place d’un cadre adapté qui permettra de sécuriser les informations personnelles identifiables des clients et d’atténuer tout risque. La mise en œuvre d’un système efficace de gestion des politiques (policy management) permettra aux organisations de démontrer leur conformité aux exigences législatives et de cibler efficacement les domaines qui présentent le plus de risques pour la sécurité des données.
- Utiliser des mots de passe forts – L’une des méthodes les plus simples pour les pirates d’accéder aux systèmes sensibles d’une entreprise est de deviner les mots de passe. Selon un sondage récent de TechRadar, 60 % des utilisateurs d’Internet utilisent le même mot de passe pour plusieurs de leurs comptes. Cette pratique comporte des risques, car si un compte est compromis, les autres le sont également. Pour renforcer la sécurité, il est recommandé d’utiliser des mots de passe solides, d’une longueur de 8 à 15 caractères, combinant des lettres majuscules, des lettres minuscules, des chiffres et des symboles. Une alternative est d’utiliser une phrase de passe, qui est une combinaison de mots avec des substitutions de lettres par des chiffres et des symboles.
- Formation du personnel – Une sécurité efficace ne dépend pas uniquement de la technologie, car l’erreur humaine reste un facteur majeur dans les violations de données, comme l’a révélé l’analyse annuelle de Verizon sur les cyberattaques mondiales. Ainsi, il est primordial pour les organisations d’investir dans une formation de sensibilisation à la cybersécurité de qualité afin que le personnel comprenne pleinement son rôle crucial dans la protection des données sensibles de l’entreprise. Les employés sont au cœur du bon fonctionnement sécurisé d’une organisation, d’où l’importance de leur fournir les informations et les connaissances nécessaires pour garantir la sécurité du réseau et des systèmes d’information.