Selon le dernier rapport de violation de données de Risk Based Security, le nombre de violations de données signalées a augmenté de 56,4% au premier trimestre de 2019 par rapport à la même période de l'année dernière.L'augmentation du nombre de rapports pourrait être le résultat d'une nouvelle législation, telle que le RGPD, obligeant les entreprises à être plus transparentes sur les questions de sécurité. Le nombre d’enregistrements exposés a également augmenté de 28,9%. Déjà en 2019, il y a eu trois violations qui ont révélé 100 millions d'enregistrements ou plus.
Le rapport indique que 1 903 violations ont été signalées jusqu'au 31 mars, soit au total 1,9 milliard d'enregistrements.
« Au cours du premier trimestre de l'année, plus d'un milliard d'enregistrements ont été exposés pendant trois années consécutives, tandis qu'entre 2009 et 2016, le nombre d'enregistrements exposés au premier trimestre était généralement situé entre 100 000 000 et 200 000 000. Seuls 2014 et 2016 ont dépassé les 200 millions. Pourquoi ce changement ? Deux causes en sont évidentes : les bases de données qui fuient et les acteurs malveillants qui deviennent publics avec d’importants ensembles de données à vendre ».
Pour le premier trimestre de 2019, le délai moyen entre la découverte et la divulgation était de 43 jours lorsque la violation a été découverte par des sources externes. Cependant, les organisations qui ont eu connaissance de la violation via des sources internes ont pris 74 jours.
« Dans le rapport QuickView de fin d'année 2018, nous avons posé la question suivante: pourrait-il exister une corrélation entre la méthode de découverte et le nombre moyen de jours nécessaires au dévoilement de la violation ? Il semblait probable que les organisations capables de détecter leurs violations seraient également mieux préparées à réagir, ce qui réduirait le nombre de jours entre découverte et rapport. L'analyse du premier trimestre 2019 ne supporte pas cette hypothèse. En fait, les organisations qui ont eu connaissance de la violation par des sources externes ont révélé l'incident beaucoup plus rapidement que celles qui ont eu connaissance de la violation par des sources internes.
« Pour le premier trimestre de 2019, le délai moyen entre la découverte et la divulgation était de 43 jours lorsque la violation a été mise au jour via des sources externes. Cependant, les organisations qui ont eu connaissance de la violation via des sources internes ont passé 74 jours. Le nombre médian de jours entre la découverte et la divulgation était également surprenant, avec une médiane de 8 jours pour une découverte externe par rapport à une médiane de 46 jours pour une découverte interne ».
Les violations par des tiers continuent de poser problème, 49 incidents de ce type ont été signalés au premier trimestre, allant d'une violation chez Toyota Tokyo Sales Holdings, qui a révélé des enregistrements clients dans des filiales et des concessionnaires affiliés, à un fournisseur de solutions de point de vente qui a exposé des détails de cartes de paiement des clients d’au moins 15 sociétés différentes.
« Les vendeurs, les fournisseurs, ainsi que les fournisseurs de services clés peuvent stocker ou traiter des téraoctets de données sensibles pour le compte de leurs clients. Lorsque ces fournisseurs de services exposent des données, cela peut déclencher un effet en cascade selon lequel un événement a une incidence sur les données de plusieurs organisations. Au cours du premier trimestre de 2019, 49 incidents de ce type ont été signalés, allant de la violation à Toyota Tokyo Holdings, qui exposait les enregistrements des clients des filiales et des concessionnaires affiliés, à un fournisseur de solutions de point de vente présentant les informations de carte de paiement des clients d'au moins 15 sociétés différentes ».
L'exposition des données sur le Web conserve la première place pour le type de violation exposant le plus grand nombre d'enregistrements, représentant 67,6%. Même si le piratage reste le principal type d'infraction pour le nombre d'incidents, il représente 84,8% des infractions signalées.
En bref
- Au 31 mars, 1 903 violations avaient été signalées, et elles concernaient environ 1,9 milliard d'enregistrements.
- Par rapport au premier trimestre 2018, le nombre d'infractions signalées a augmenté de 56,4% et le nombre d'enregistrements exposés de 28 milliards, en hausse de 28,9%.
- Parmi les organisations dont les systèmes ont été violé et qui pouvaient être définitivement classées, le secteur Business représentait 71,1% des infractions signalées, suivi par le secteur médical (13,6%), le secteur gouvernemental (7,8%) et le secteur de l'éducation (6,8%).
- Déjà en 2019, il y a eu trois violations qui ont révélé 100 millions d'enregistrements ou plus. Malgré cela, une seule nouvelle violation a été ajoutée aux vingt plus grandes violations de tous les temps.
- Le secteur Business représentait 85,6% des enregistrements exposés, suivi de 12,6% pour le secteur Non classé et de 1,5% pour le secteur médical. Les secteurs gouvernemental et de l’éducation combinés représentent 5,8 millions d’enregistrements exposés au premier trimestre, soit moins de 0,03% du nombre total d’enregistrements exposés.
- 14,7% des organisations dont les systèmes ont été compromis refusaient ou étaient incapables de divulguer le nombre d’enregistrements exposés.
Source : rapport (au format PDF)
Voir aussi :
Bien que le télétravail semble devenir une norme, il existe des risques de sécurité pour les entreprises, selon le rapport Avast Business Une faille RCE affecte la plupart les ordinateurs de marque DELL qui tournent sous Windows, d'après les révélations d'un chercheur en sécurité Facebook met de côté 3 milliards de dollars d'avance sur l'amende record de la FTC pour violation de la vie privée Yahoo pourrait débourser jusqu'à 117,5 millions de dollars suite au recours collectif, concernant la violation des données de ses utilisateurs 
