« Selon les chiffres publiés par IT Governance, 8 214 886 660 dossiers ont été exposés en 2023. Cette semaine, plus de 26 milliards d’enregistrements personnels ont également été exposés, ce qui est considéré par les chercheurs comme la plus grande fuite de données de tous les temps. Le problème est que les acteurs malveillants sont conscients de pouvoir monnayer leurs crimes en ciblant des données précieuses, sans crainte d’être sanctionnés.
Bien que les organisations aient l’obligation de protéger les informations que les consommateurs leur confient, nous avons tous un rôle à jouer dans la protection des données. Les consommateurs doivent être attentifs à ce qu’ils partagent en ligne et où. Par exemple, participer à un quiz ludique sur les réseaux sociaux pourrait fournir des informations susceptibles d’être utilisées dans le cadre d’une attaque d’ingénierie sociale, tel que le nom d’un premier animal de compagnie. Utiliser le même mot de passe pour toutes les connexions en ligne représente également un risque car les attaques de type credential stuffing sont en augmentation. En combinant des informations provenant de différentes sources pour établir le profil complet d’une personne, les attaquants peuvent parvenir à répondre aux questions de sécurité utilisées pour protéger les comptes bancaires et/ou y accéder.
Nous devons commencer à remédier aux lacunes en matière de sécurité afin de prévenir ces violations de données. Nous savons que la méthodologie d’attaque des hackers n’est pas avancée, ni même unique, mais opportuniste. Ils trouvent de nombreuses portes d’entrées et voies d’attaques dans les environnements pour faire des dégâts et rentabiliser leurs actions néfastes. En outre, l’adoption généralisée du cloud computing introduit de nouveaux niveaux de vulnérabilité et de complexité de gestion qui peuvent être pris pour cible.
Dans la majorité des cas, c’est une vulnérabilité connue qui permet aux cybercriminels d’infiltrer l’infrastructure de l’organisation. Une fois entrés, ils chercheront à exploiter les configurations incorrectes de l’Active Directory pour obtenir des privilèges et infiltrer davantage l’organisation pour dérober des données, crypter des systèmes ou entraîner d’autres conséquences négatives pour l’activité de l’entreprise. Nous devons travailler plus intelligemment pour identifier et fermer ces voies d’attaque, ou nous serons toujours confrontés au même dilemme lors de la prochaine Journée de la protection des données. »