La fin d'année s'approche à grands pas et l'heure du traditionnel bilan a sonné. Cette année a été marquée par des violations de données. Pratiquement tous les mois, une entreprise demandait à ses clients de changer les mots de passe. Et aucun secteur n'a été épargné ; cela concernait aussi bien l'industrie des soins de santé que l'armée en passant par des entreprises technologiques.Comme pour empirer les choses, le nombre total de violations a augmenté de 33% par rapport à l'année dernière, selon les recherches de Risk Based Security, les services médicaux, les détaillants et les entités publiques étant les plus touchés. C'est une énorme somme de 5183 violations de données pour un total de 7,9 milliards d'enregistrements exposés. En novembre, le spécialiste a qualifié 2019 de « pire année jamais enregistrée » pour les infractions.
Combien coûte une violation de données moyenne à une organisation ? Selon les derniers chiffres d'IBM, le coût total moyen pour les entreprises était de 3,92 millions de dollars réparti notamment sur les enquêtes, le contrôle des dommages, les réparations, les honoraires d'avocats, les amendes, les dommages et intérêts. C'est une augmentation de 12 % sur cinq ans qui ne laisse percevoir aucun signe de ralentissement.
Ce qui est plus difficile à quantifier, c'est à quel point un coût a été supporté par les consommateurs individuels dans le monde cette année. Numéros de passeport, dossiers médicaux, coordonnées bancaires, informations d'identification sur les réseaux sociaux, numéro de sécurité sociale, les violations ont frappé les données les plus sensibles en 2019. Voici quelques-unes des violations de données qui ont eu lieu au courant de l'année.
Janvier
Marriott a donné le coup d'envoi en 2019 avec une violation de données lorsque le groupe hôtelier a annoncé que des pirates avaient accédé aux dossiers, y compris certains numéros de passeport et informations de carte de crédit, de plus de 383 millions de clients. S'il fallait faire une comparaison, cette violation de données concerne plus du double des 143 millions d'Américains concernés dans le piratage d'Equifax en 2017, une agence de déclaration de crédit à la consommation aux États-Unis (considérée comme l'une des trois plus grandes agences de crédit américaines avec Experian et TransUnion). De plus, Troy Hunt a trouvé 773 millions d'adresses e-mail d'utilisateurs (ainsi qu'une multitude d'autres données) dans une collection de fichiers de service cloud.
Février
Février a été un mois brutal pour la sécurité en ligne. L'une des violations qui a marqué ce mois concernait plus de 617 millions de comptes récupérés de 16 sites Web et mis en vente sur le dark web. Les propriétaires de sites Dubsmash, Armor Games, 500px, Whitepages et ShareThis ont tous vu les données volées de leurs utilisateurs vendues pour moins de 20 000 $ en bitcoins. Pendant ce temps, une série de petites violations a rappelé que les piratages n'excluent pas le secteur médical : un attaquant a détenu jusqu'à 15 000 dossiers de patients australiens en échange d'une rançon, un accès non autorisé au courrier électronique a révélé 326 000 dossiers de patients du Connecticut, près d'un million d'informations de patients de Washington ont été exposées dans une base de données ouverte et 2,7 millions d'appels vers une ligne de santé nationale suédoise ont été enregistrés et laissés accessibles au public.
Mars
Des centaines de millions d'utilisateurs de Facebook et Instagram ont vu leurs informations d'identification révélées suite à une mauvaise gestion du stockage des mots de passe de la société de médias sociaux.
Avril
Facebook a de nouveau ouvert la voie en avril, avec 540 millions d'enregistrements exposés après avoir laissé les noms, identifiants et mots de passe des utilisateurs à découvert sur des serveurs non protégés. Le même mois, Facebook a admis avoir stocké des millions de mots de passe d'utilisateurs Instagram en clair. Ce même mois, 12,5 millions de dossiers médicaux de femmes enceintes ont été révélés. Ils étaient accessibles au public depuis un serveur appartenant à une agence de santé du gouvernement indien.
Mai
Bien sûr, le gros titre de mai était la centaine de millions de documents d'assurance divulgués par le géant immobilier First American Financial Corp. Il y a également eu Burger King dont une base de données était accessible au public, entraînant l'exposition de près de 40 000 clients de sa boutique en ligne KoolKing dédiée aux enfants. Une histoire qui a également fait couler de l'encre est celle de deux entreprises dont l'activité consistait à faire des déjeuners pour des écoles de la région de la baie de San Francisco et qui s'est transformée en cyberguerre ; l'un des directeurs financiers a été arrêté pour avoir piraté le site de l'autre et divulgué des données sur les élèves.
Juin
Au moins 20 millions de patients ont vu leurs données révélées lorsque le collecteur de factures American Medical Collection Association a été piraté. Les dégâts ? De multiples recours collectifs ont été intentés contre l'AMCA et ses clients contractuels pour violation des données de paiement des patients, des numéros de sécurité sociale, des informations médicales, des dates de naissance, des numéros de téléphone, des adresses, etc. Le résultat? Les collecteurs de dettes médicales étaient tellement endettés qu'ils ont déposé le bilan.
Juillet
Capital One a annoncé que des données personnelles de 106 millions de ses clients ont été volées. L'institution bancaire a déclaré :
« les informations sur les consommateurs et les petites entreprises constituaient la plus grande catégorie d'informations consultées au moment où ils ont demandé l'un de nos produits pour cartes de crédit de 2005 à début 2019. Ces informations comprenaient les informations personnelles que Capital One recueille régulièrement au moment de la réception des demandes de carte de crédit, y compris les noms, adresses,...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.
