Le monde dans lequel nous vivons aujourd'hui est celui où les violations de données sont devenues la nouvelle réalité. De la dernière violation de données de l'institution bancaire Capital One qui a touché une centaine de millions de clients au tristement célèbre piratage de Sony Pictures de 2014, les entreprises sont devenues plus vulnérables à une multitude de risques de sécurité qui pourraient exposer leurs données sensibles. Cette nouvelle réalité est parfaitement claire lorsque vous regardez les chiffres. Selon un rapport récemment publié par Risk Based Security, au cours du premier semestre 2019, plus de 3 800 infractions révélant 4,1 milliards d'enregistrements compromis ont été divulguées au public.
En dépit de cette nouvelle réalité et de ces chiffres surprenants (ou non), les entreprises ne prennent pas les risques des données exposées avec suffisamment de sérieux. En effet, certains rapports notent que de nombreuses organisations ne ressentent toujours pas le sentiment d’urgence ou n’ont pas besoin de modifier leur point de vue sur la compromission des données. En conséquence, elles sont beaucoup moins enclines à améliorer les méthodes par lesquelles elles surveillent et détectent les incidents potentiels d’exposition aux données.
En fait, le risque lié au vol de données d’employés, notamment des adresses d’entreprises et des données relatives aux employés, n’est toujours pas pris en compte par les entreprises, malgré les dommages potentiels que ces incidents pourraient causer. Les chercheurs de la société de cybersécurité Terbium ont analysé la manière dont les entreprises abordent les risques liés à la sécurité et ont constaté que beaucoup sous-estimaient les dommages qui pouvaient être causés si les données des employés étaient volées et divulguées sur le web.
Principales conclusions et tendances
Le phishing reste le roi de l'exposition des données
Le phishing est un cercle vicieux de la sécurité : il peut être à la fois la source et le résultat de l’exposition des données. Il permet aux attaquants d'accéder aux systèmes internes et de compromettre des données à exploiter pour une exposition ultérieure. Le phishing est également l’un des moyens les plus faciles pour les fraudeurs d’abuser des données déjà filtrées dans l’écosystème criminel.
« Comme nous avons pu le constater en travaillant avec des organisations pour surveiller et détecter les données exposées, des dizaines de milliers d'adresses mail fuitent chaque jour sur Internet - sur le dark Web - et dans les forums criminels. Même sans aucune information supplémentaire, un criminel entreprenant peut insérer des lots de ces adresses électroniques dans un schéma de phishing existant et envoyer des messages malveillants à des destinataires sans méfiance. Si les assaillants réussissent, ils peuvent accéder à des informations supplémentaires et choisir de les partager avec le reste de la communauté criminelle - et le cycle recommence
« Comme l’indiquent les conclusions de notre étude, les professionnels de l’informatique s’inquiètent sérieusement des risques associés au phishing. En fait, 33 % des personnes interrogées ont déclaré que le phishing était l'incident de sécurité le plus susceptible de générer des données exposées. Cette conclusion est logique si vous considérez que le rapport DBIR (Data Breach Investigations Report) 2019 de Verizon a révélé que 32 % des violations de données impliquaient du phishing ».
Et pour ne pas arranger les choses, 27 % des personnes interrogées ont admis ne pas avoir confiance en la capacité de leurs employés à reconnaître les escroqueries par hameçonnage et à éviter les courriels suspects ou frauduleux. Cela est troublant et problématique étant donné que les attaques par hameçonnage ont augmenté de 65 % au cours de la dernière année et que 76 % des entreprises ont déclaré avoir été victimes d'une attaque par hameçonnage en 2018. Ceci est en outre corroboré par les conclusions du rapport Spam and Phishing de 2018 publié par Kaspersky Lab qui a révélé que le système anti-phishing de la société avait empêché plus de 482 millions de tentatives de consultation de pages frauduleuses l'année dernière, soulignant une augmentation importante de leur utilisation et de leur popularité par les cybercriminels.
Plus de 52 % des utilisateurs réutilisent des mots de passe sur plusieurs plateformes, ce qui signifie qu'une seule campagne de phishing réussie pourrait déverrouiller des dizaines de comptes pour chaque utilisateur. En conséquence, les pirates informatiques qui tentent de se livrer à des escroqueries par phishing pourraient très bien accéder aux informations de connexion en ligne des comptes financiers, des comptes de médias sociaux, des comptes de soins de santé et d’assurance, ainsi qu’à une foule d’autres tiers non méfiants (y compris les employeurs).
Les attaques par hameçonnage sont des systèmes commodes et peu coûteux que la communauté des fraudeurs peut exécuter. De la même manière que le Web ouvert fournit aux entreprises des moyens de marché et des communautés pour se connecter aux consommateurs, le dark Web fournit aux pirates informatiques des outils et des recommandations similaires pour la création d’une campagne de phishing. Les fraudeurs peuvent désormais acheter des pages de phishing complètes et entièrement conçues pour reproduire l'expérience utilisateur sur les sites Web bancaires et technologiques les plus populaires. Les fournisseurs vendent même ces pages de phishing préfabriquées avec des recommandations sur la manière d'attirer les destinataires afin qu'ils entrent les informations personnelles et les informations de facturation.
Les identifiants de connexion en ligne, les numéros de sécurité sociale et de carte de crédit sont considérés comme des données client à haut risque
Bien que les professionnels de la sécurité commencent à reconnaître les risques associés à l'exposition de données, ils sous-estiment néanmoins considérablement la probabilité que des données sensibles puissent être partagées, voire vendues en ligne. Lorsqu'il a été demandé aux répondants de l’enquête de préciser les types de données clients susceptibles d’être exposés en ligne, les combinaisons adresse électronique et mot de passe (identifiants de connexion) sont apparues comme le type de données clients numéro un, avec 52 %.
Les informations d'identification servent souvent de signal d'alerte précoce pour une exposition et un risque accrus à l'avenir. La présence des informations d'identification exposées en ligne indique un risque de sécurité existant pour les organisations, mais le risque ne s'arrête pas là. L'exposition aux données a des implications continues en aval que les entreprises doivent comprendre et planifier. Si les informations d'identification apparaissent en ligne, des acteurs malveillants ont peut-être déjà accédé au compte ou aux comptes associés à ces informations d'identification, ainsi qu'à des ensembles de données sensibles pour exploiter des informations supplémentaires. L’apparition des données en ligne signifie essentiellement que de nombreux autres criminels vont probablement essayer à nouveau de s'en servir.
Néanmoins, l'étude note que les numéros de sécurité sociale des clients ont légèrement diminué (38 %), suivis des numéros de cartes de débit / crédit (30 %). « Ces pourcentages sont extrêmement bas. Sur la base de ce que nous avons constaté lors de la surveillance des données exposées sur le dark Web, les numéros de sécurité sociale et les informations de carte de paiement compromis sont largement disponibles en ligne. Le ou les numéros de sécurité sociale sont, le plus souvent, vendus pour quelques centimes, tandis que des centaines de millions de cartes de paiement volées circulent dans les marchés et les forums criminels. Cela reflète des types de données similaires à ceux exposés lors de la violation de données Capital One de 2019, qui concernait environ 100 millions de personnes aux États-Unis et environ 6 millions au Canada. Selon les documents judiciaires et Capital One, le pirate informatique aurait volé 140 000 numéros de sécurité sociale et 80 000 numéros de comptes bancaires dans l'infraction ».
Malgré l’augmentation du nombre d’attaques et de fraudes sur les comptes, les informations personnelles des employés sont considérées comme peu risquées
Si les professionnels de l'informatique sous-estiment les risques d'exposition liés aux informations des clients, la prise de conscience des risques d'exposition auxquels sont confrontées les données des employés est encore plus critique. En témoignent les conclusions de l'étude : les professionnels de l'informatique interrogés classaient les informations d'identification des employés comme présentant un risque élevé d'exposition (40 %), tout en minimisant considérablement le risque d'exposition pour tous les autres types de données des employés. Par exemple, à peine neuf pour cent des répondants ont signalé un risque élevé d'exposition pour les noms d'employés, tandis que moins de deux pour cent étaient préoccupés par le risque de voir l'adresse du domicile de leurs employés exposée. Même le numéro de sécurité sociale des employés n'a pas suscité d'inquiétude significative, 11 % seulement des répondants ayant indiqué un risque d'exposition élevé. Comparez ces réponses aux mêmes préoccupations concernant les données des clients apparaissant en ligne: 46% sont préoccupés par les noms des clients, 34 % sont préoccupés par les adresses des clients et 38 % indiquent un risque élevé d'exposition pour les numéros de sécurité sociale.
Les entreprises craignent davantage que les pirates informatiques exposent les données des clients : ce type de fuite peut créer une perte de revenus et de réputation. Mais les attaques visant uniquement les données internes de l’entreprise peuvent ouvrir la voie à une attaque future visant elle les données client. « Les données des employés de l'entreprise sont la clé de voûte de l'organisation », a expliqué Emily Wilson, vice-présidente des recherches à Terbium Labs.
« Si vous avez des adresses e-mail d'employés, vous pouvez lancer des tentatives de phishing et de compromission des e-mails professionnels. C'est un point d'entrée dans les systèmes d'une entreprise et l'accès aux données des employés vous donne une vue d'ensemble », a-t-elle souligné.
Et de regretter que les entreprises « ne prennent pas de recul et ne s'inquiètent pas de la manière dont les attaquants pourraient accéder aux données des clients. Elles ne réalisent pas encore que l'exposition des données d'entreprise est la première étape qui mène à tous ces problèmes de sécurité qui inquiètent au quotidien les entreprises ».
Source : rapport (au format PDF)
Voir aussi :
Le nouveau plan de cybersécurité de la Chine : aucune information contenue sur un serveur situé en Chine ne sera exemptée, pas de secrets commerciaux ni données confidentielles, selon un rapport
Une Cour de justice estime qu'il n'est pas illégal de collecter des données publiques d'un site pour les utiliser dans ses activités
Anthony Levandowski accusé de vol de secrets commerciaux, dont 14 000 fichiers contenant des « informations techniques critiques concernant le matériel » utilisé par les véhicules Waymo
OGUsers, le forum de pirates à l'origine de vol d'identifiants sur Instagram, s'est fait pirater, des mails, mots de passe, et adresses IP volés
Un étudiant réclame un milliard de dollars à Apple, après avoir été accusé à tort de vol dans un Apple Store par un logiciel de reconnaissance faciale
Les entreprises sous-estiment l'impact du vol des données des employés
Qui peuvent apporter une vue d'ensemble sur les données clients au cybercriminel
Les entreprises sous-estiment l'impact du vol des données des employés
Qui peuvent apporter une vue d'ensemble sur les données clients au cybercriminel
Le , par Stéphane le calme
Une erreur dans cette actualité ? Signalez-nous-la !