Proofpoint dévoile son premier rapport sur le paysage des pertes de données

mars 2024 par Proofpoint, Inc.

Proofpoint, Inc. publie son tout premier rapport Data Loss Landscape, qui explore comment les approches actuelles de prévention contre la perte de données (DLP) et de menaces internes sont mises en difficulté face aux défis macro-économiques tels que la prolifération des données, la sophistication de la cybercriminalité ou encore l’Intelligence Artificielle générative (GenAI). Le rapport révèle ainsi que la perte de données découle principalement de l’interaction entre les individus et les systèmes, et l’impact des « utilisateurs imprudents », plus susceptibles de provoquer des incidents que des systèmes compromis ou mal configurés.

Si les entreprises investissent dans des solutions DLP (36 % des organisations françaises interrogées ont un programme mature de DLP en place), ces dernières demeurent insuffisantes au regard des résultats de l’étude. En effet, 90 % d’entre elles ont subi des pertes de données au cours de l’année écoulée et pour 88 %, ces pertes ont entraîné des conséquences négatives, comme une interruption de l’activité de l’entreprise, des pertes de revenus (pour 65 % des organisations) ou encore des atteintes à la réputation de l’organisation (37 %). Pour autant, il est étonnant de constater que selon les données de la plateforme Information Protection de Proofpoint, 1% des utilisateurs sont responsables de 88% des cas de perte de données.

« Cette étude met en lumière l’aspect le plus critique en matière de perte de données : les individus », a déclaré Ryan Kalember, directeur de la stratégie chez Proofpoint. « Les utilisateurs imprudents, compromis et malveillants sont et continueront d’être responsables de la plupart des incidents alors que des outils d’IA générative effectuent aujourd’hui les tâches courantes et accèdent aux données les plus confidentielles. Les entreprises doivent repenser leurs stratégies DLP pour s’attaquer à la cause sous-jacente de la perte de données — les utilisateurs — pour être en mesure de détecter, enquêter et répondre aux menaces sur tous les canaux utilisés par leurs employés que sont le cloud, les terminaux, les courriels et le web. »

Le rapport Data Loss Landscape 2024 examine les perceptions de 600 professionnels de la sécurité au sein d’entreprises de 1 000 employés ou plus, dans 17 secteurs d’activité et 12 pays différents. Les informations recueillies via plusieurs enquêtes menées par des organismes tiers ont été complétées par des données provenant de la plateforme de protection de l’information de Proofpoint et Tessian, acquise par Proofpoint en octobre dernier, afin de rendre compte de l’ampleur des pertes de données et des menaces internes auxquelles les entreprises sont confrontées.

Les principales conclusions du rapport Data Loss Landscape 2024 pour la France sont les suivantes :

• La perte de données est une problématique répandue pourtant évitable : les entreprises françaises ont enregistré plus d’un incident par mois (pour une moyenne de 14 incidents par an) et pour 65 % des personnes interrogées, ces incidents sont dus à l’imprudence des utilisateurs. Des imprudences liées notamment à l’envoi de courriels erronés, l’ouverture de sites d’hameçonnage, l’installation de logiciels non autorisés et l’envoi de données sensibles par courriel à un compte personnel. Des négligences qui pourraient pourtant être évitées en adoptant des pratiques préventives pour protéger les courriels, les téléchargements via le Web, la synchronisation des fichiers et tout autre vecteur courant d’exfiltration de données.

• Les courriels mal-acheminés sont l’une des causes les plus communes et importantes : près d’un tiers des employés ont envoyé un ou plusieurs courriels au mauvais destinataire selon les données de Tessian. À l’échelle d’une entreprise de 5 000 employés, cela signifie que 3 400 courriels erronés sont envoyés chaque année. Si un de ces courriels contient des données sur les employés, les clients ou les patients, il peut entraîner une amende conséquente en vertu du RGPD et cadres réglementaires équivalents.

• L’IA générative est une menace croissante : les outils tels que ChatGPT, Grammarly, Bing Chat et Google Gemini gagnent en puissance et les utilisateurs n’hésitent pas à saisir des données sensibles dans ces applications. La « navigation sur les sites de GenAI » est ainsi devenue l’une des principales règles d’alerte de DLP et de menaces internes configurées par les organisations utilisant la plateforme de protection des informations de Proofpoint.

• Les conséquences coûteuses des actions malveillantes : 21 % des personnes interrogées ont déclaré que des individus malveillants, employés ou sous-traitants, étaient à l’origine d’incidents causant des pertes de données. Motivés par un gain financier potentiel, ces actions malveillantes et le départ d’employés cherchant à nuire à l’organisation peuvent avoir des conséquences bien plus importantes que de simples négligences.

• Les employés sur le départ sont les utilisateurs les plus porteurs de risque (48 %) : dans de nombreux cas, les employés quittent leur poste avec les informations et données qu’ils ont été amenés à traiter — la plupart du temps sans avoir conscience du risque que cela encourt. Le rapport montre que dans 87 % des cas d’exfiltration anormale de fichiers, stockés sur le cloud depuis au moins neuf mois, ont été causés par le départ d’un employé. Un nombre qui souligne la nécessité de mettre en place une stratégie préventive et notamment d’examiner l’ensemble du processus de sortie d’un collaborateur.

• Les utilisateurs privilégiés endossent aussi la majorité du risque : près de la moitié (48 %) des Français interrogés ont identifié les employés ayant accès à des données sensibles, notamment dans les départements RH et finance, comme le plus grand risque face aux pertes de données. Le rapport montre également que seulement 1 % des utilisateurs est responsable de 88 % des incidents de ce type. Pour y pallier, les organisations doivent mettre en place une classification efficace des données afin d’identifier et de protéger les données les plus critiques de l’entreprise et de superviser les personnes y ayant accès ou ayant des privilèges d’administrateur.

• Les programmes de prévention arrivent à maturité : pour plus de la moitié (52 %) des participants, ces programmes sont mis en place principalement en réponse aux normes et réglementations légales en vigueur. La protection de la propriété intellectuelle arrive en deuxième position (50 %), suivie de la protection de la vie privée des employés et des clients (42 %).

« L’émergence rapide de nouveaux canaux de communication et de transmission de l’information entraine des changements dans le comportement des utilisateurs, d’où l’importance de remettre régulièrement en question les programmes de DLP existants », a déclaré Loïc Guézo, Directeur Senior en Stratégie Cybersécurité chez Proofpoint. « Des stratégies de prévention comme la mise en œuvre de plateformes DLP spécialement conçues peuvent contribuer à faire progresser les programmes de sécurité en permettant aux équipes dédiées d’obtenir une visibilité complète sur les utilisateurs, les données et les incidents ainsi que de traiter l’ensemble des scénarios de perte de données liés aux individus. Les collaborateurs sont une variable essentielle de la sécurité des données, c’est pourquoi ils doivent être au centre des programmes de prévention. »