Le rapport intitulé 2008 Data Breach Investigations Report se fonde sur plus de 500 enquêtes criminelles impliquant 230 millions de plaintes déposées ces quatre dernières années. Des centaines de violations de données y sont étudiées, dont trois des cinq cas les plus emblématiques dont ont été victimes des entreprises. Cette première étude du genre, menée par des experts de Verizon Business Security Solutions, établit que 73 % des violations sont des attaques extérieures et 18 % le résultat de menaces internes. Il est également démontré que la majorité des violations sont constituées d’une combinaison d’événements et non d’une seule tentative d’attaque ou d’intrusion.

« Partout dans le monde, les entreprises sont de plus en plus préoccupées par les violations de sécurité et le risque de compromission de leurs informations sensibles », constate Peter Tippett, vice-président chargé des recherches et de la veille chez Verizon Business Security Solutions. « Avec ce rapport nous espérons que les dirigeants d’entreprises comprendront mieux les risques auxquels leurs données sont exposées, ainsi que les principaux critères communs aux différentes menaces. Nous leur recommandons surtout d’adopter une approche plus proactive de la sécurité pour renforcer la protection de leurs données. »

Principales découvertes quant aux principes de sécurité de base

Certaines découvertes vont à l’encontre des idées préconçues, y compris que la majorité des violations proviendraient de l’intérieur. En voici quelques exemples :

– La plupart des violations de données signalées sont le fait de sources externes. Les partenaires commerciaux sont à l’origine de 39 % des violations, un chiffre qui a été multiplié par cinq au cours de la période d’étude.

– La majorité des violations sont constituées d’une combinaison d’événements et non d’une seule action. Dans 62 % des cas, ce sont des erreurs internes qui ont provoqué la violation, directement ou indirectement. 59 % des violations délibérées sont le résultat de tentatives de piratage ou d’intrusion.

– 39 % des violations de piratage ciblaient la couche des applications ou des logiciels. Les attaques de la couche des applications, des logiciels et des services sont bien plus fréquentes que celles du système d’exploitation (23 % seulement). Moins de 25 % des attaques exploitent des vulnérabilités connues ou inconnues. 90 % des vulnérabilités connues ainsi exploitées étaient protégées par des correctifs dans la période d’au moins six mois précédant l’attaque.

– 9 violations sur 10 comportent une part d’inconnu (systèmes inconnus, données, connexions réseau et/ou droits d’accès). Et 75 % des violations sont détectées par un tiers et non par la société qui en est victime, et ce souvent depuis longtemps.

– Actuellement, les données des entreprises sont partout et il est extrêmement difficile d’en assurer le suivi. Pourtant, le principe de base est simple : comment protéger des données quand on ne sait pas où elles se trouvent ?

Développement mondial du marché noir des données usurpées

Les violations étudiées touchent un large panel d’industries. Plus de la moitié des cas ciblent les secteurs de la vente de détail et de l’alimentation. Seulement 14 % des cas concernent les services financiers : un secteur particulièrement lucratif mais aussi beaucoup mieux protégé que les autres secteurs.

D’après les conclusions de l’étude, la nature et le nombre des incidents de portée internationale sont en forte augmentation. A titre d’exemple, les attaques en provenance d’Asie, et notamment de la Chine et du Vietnam, visent souvent les applications, alors que les dégradations proviennent plutôt du Moyen-Orient. Les adresses IP (Internet protocol) d’Europe de l’Est et de Russie sont souvent associées à la violation de terminaux point de vente.

« Plus le monde est interconnecté grâce aux technologies de l’information, plus les entreprises concluent des partenariats d’envergure mondiale et plus les lois régissant l’utilisation et la divulgation de tels incidents gagnent en maturité. Il y a donc fort à parier que les violations de données de portée mondiale vont-elles aussi se multiplier », selon cette étude.

Du point de vue psychologique, le rapport précise que la violation de données est le moyen le plus sûr, le plus simple et le plus lucratif de s’approprier les informations nécessaires pour utiliser frauduleusement une identité. En s’infiltrant dans des systèmes informatiques protégés pour violer des informations confidentielles, les criminels ont accès aux informations de dizaines de milliers de victimes contre beaucoup moins s’ils n’utilisaient pas de moyens électroniques.

Le marché noir des données volées rend ce type de crime encore plus lucratif. Ce réseau social aide les criminels à rechercher ensemble des systèmes vulnérables, à compromettre les données et à usurper de très nombreuses identités. D’après le rapport, les membres de ce type de réseau travaillent en association avec des pirates, des fraudeurs et autres groupes du crime organisé.

Quelques recommandations pour les entreprises

Certaines mesures très simples si elles sont appliquées convenablement et régulièrement peuvent apporter des bénéfices conséquents. En voici les plus importantes :

– Aligner les processus en fonction de règles strictes. Dans 59 % des cas de violation de données, l’entreprise avait élaboré des règles et procédures de sécurité mais celles-ci n’étaient pas appliquées. Alors, n’oubliez pas, appliquez, appliquez, appliquez !

– Créer un plan de rétention des données. Quand 66 % des violations portent sur des données dont l’entreprise ignorait jusqu’à l’existence, il est décisif de savoir où vont les données et où elles sont enregistrées. Identifiez vos données et déterminez le degré de risque pour l’entreprise.

– Contrôler les données par la segmentation. Les enquêteurs ont conclu qu’en segmentant le réseau, il est plus facile d’éliminer, ou tout du moins de réduire le risque d’attaque. Autrement dit, isolez les données les unes des autres le plus judicieusement possible.

– Suivre les journaux d’événements. Pour 82 % des violations de données, certains événements annonciateurs auraient pu attirer l’attention de l’entreprise avant que l’incident se produise. Dans ce contexte, il convient de consulter et de surveiller systématiquement les journaux de données pour réagir en conséquence.

– Créer un plan de réaction aux incidents. Chaque fois que l’on soupçonne le risque d’une violation, l’entreprise doit être en mesure de réagir, pour bloquer l’accès aux données mais aussi pour recueillir des éléments de preuve en vue d’entamer des poursuites lorsque cela est nécessaire.

– Mobiliser l’attention. Seuls 14 % des cas de violation de données ont été découverts par des employés de l’entreprise victime, alors que les collaborateurs constituent la première ligne de défense pour protéger les données. Apprenez-leur à être vigilants.

– Exécuter des tests sur des incidents fictifs. Il convient de s’assurer que les collaborateurs sont suffisamment bien formés pour réagir correctement en cas de violation. Testez les compétences, les jugements et les réactions de vos employés lors de simulations d’incidents.

M. Tippett ajoute que : « ce rapport montre clairement que le problème n’exige pas des mesures de protection complexes ou hors de portée. Il s’agit plutôt de mesures basiques, depuis la planification et l’implémentation jusqu’à la supervision des données. »