Il semble que chaque fois que nous lisons les nouvelles ces jours-ci, il y a un autre rapport sur les informations de millions de personnes violées. Alors, quelle est la gravité du problème des violations de données et quel impact cela a-t-il sur les particuliers et les entreprises? Nous révélons les statistiques et les faits les plus intéressants et les plus récents sur les violations de données, dont beaucoup sont très déconcertants.

Nous examinerons également les lois entourant les violations de données et ce que les individus peuvent faire pour résister aux effets d’une violation de données. Passons aux faits.

Statistiques et faits sur les violations de données

Nous avons recueilli les statistiques et faits les plus intéressants sur les violations de données provenant d’études récentes:

49 % des entreprises américaines ont été victimes d’une violation de données

Le rapport 2020 sur la menace des données de Thales réalisé par International Data Corporation (IDC) a interrogé 1 200 dirigeants de neuf pays, représentant divers secteurs d’activité. Il a constaté que près de la moitié des entreprises américaines ont subi une violation de données dans le passé, bien que ce nombre pourrait être plus élevé étant donné que de nombreuses violations ne sont pas détectées pendant de longues périodes. Il s’agit d’une réduction par rapport à l’année dernière, lorsque 65% des entreprises avaient connu une violation.

La Californie a subi plus de violations de données que tout autre État au cours des 10 dernières années

Une étude Comparitech a examiné le nombre de violations de données subies par les entreprises dans chaque État, ainsi que le nombre correspondant d’enregistrements exposés. La Californie était de loin en tête avec 1 493 violations et 5,6 milliards de dossiers exposés depuis 2008. En deuxième place se trouvait New York avec 729 violations et 293 millions de documents exposés et la troisième place est allée au Texas avec 661 violations et 288 millions de documents exposés.

3. Une attaque de piratage se produit toutes les 39 secondes

Les ordinateurs analysés dans une étude de l’Université du Maryland ont été attaqués en moyenne 2 244 fois par jour. Cela signifie qu’un seul ordinateur pourrait être attaqué plus d’une fois par minute.

L’une des premières fuites de données de 2020 concernait 250 millions d’enregistrements

Microsoft a un peu mal démarré en 2020. Nous avons signalé en janvier qu’il avait subi une fuite massive de données impliquant plus de 250 millions de journaux de support client datant de plus de dix ans.

Comparitech a découvert la fuite de données aux côtés du chercheur en sécurité Bob Diachenko fin 2019, bien que Microsoft n’ait révélé la violation qu’en janvier 2020. Les informations contenues dans les journaux n’étaient pas de nature particulièrement sensible, bien que les journaux des clients puissent s’avérer très précieux pour les escrocs du support technique.

Au moins quatre violations en 2020 ont impliqué plus d’un milliard d’enregistrements divulgués

Bien que la violation de Microsoft ait été importante, elle n’était en aucun cas la plus importante. D’autres violations notables en 2020 concernaient CAM4 (10,88 milliards d’enregistrements), Advanced Info Service (AIS) (8.3 milliards d’enregistrements), et Keepnet Labs (5 milliards d’enregistrements). Bien sûr, il y a aussi la brèche SolarWinds qui a été découverte en décembre, dont les retombées complètes restent à déterminer.

Trois ans plus tard, les entreprises qui ont subi une violation sous-performent le marché de plus de 15%

Une autre étude de Comparitech a examiné les cours des actions de 24 sociétés cotées à la Bourse de New York qui avaient subi des violations de données majeures. Nous avons constaté qu’après deux semaines (à compter de la date à laquelle la violation a été rendue publique), les cours des actions avaient chuté de 2,89% en moyenne. Bien que les cours des actions aient tendance à se redresser par la suite, lorsque nous avons examiné les résultats à long terme, nous avons constaté que les cours des actions des sociétés touchées n’avaient pas suivi la moyenne du NASDAQ. Un an après la violation, les entreprises ont sous-performé le NASDAQ de 3,7%, et après trois ans, les entreprises sous-performaient le NASDAQ de 15,58% en moyenne.

26% des entreprises américaines ont connu une violation de données au cours de la dernière année

Au cours de l’année écoulée, l’étude Thales ci-dessus a révélé que près d’un tiers des entreprises américaines ont déclaré avoir subi une violation de données. Encore une fois, cela pourrait être plus élevé en raison du potentiel de violations encore non détectées.

La moitié des organisations ne consacrent que 6 à 15% de leur budget de sécurité à la sécurité des données

L’une des principales conclusions de l’étude Thales est que malgré la menace massive que représentent les violations de données, de nombreuses organisations n’allouent pas une grande partie de leur budget à la sécurisation des données.

28 % des violations de données ont affecté les petites entreprisesvictimes

Le rapport d’enquêtes sur les violations de données Verizon 2020 est basé sur l’analyse de plus de 40 000 incidents de sécurité, dont plus de 2 000 violations de données confirmées. Il nous fournit une mine de faits intéressants, y compris qui est impliqué dans les violations de données. Près d’un tiers des attaques touchent les petites entreprises, tandis que la grande majorité ciblait les grandes entreprises.

Voir aussi: Améliorer la cybersécurité des petites entreprises

7 infrastructures cloud sur 10 sont violées en un an

Le rapport State of Cloud Security 2020 de Sophos note que les grandes violations impliquant le cloud deviennent monnaie courante. 70 % des professionnels de l’informatique ont déclaré que leurs infrastructures cloud avaient subi une violation au cours de l’année précédente. Le rapport révèle que la plupart des incidents de sécurité liés au cloud computing ont l’une des deux causes profondes. Ils sont soit le résultat d’informations d’identification volées ou hameçonnées, soit des erreurs de configuration ont conduit à la violation.

Les groupes criminels organisés sont responsables de 55% des violations

Le rapport de Verizon donne également un aperçu des responsables des attaques. Fait intéressant, plus du tiers des infractions concernent des groupes du crime organisé. Il convient également de noter que près d’un tiers impliquait du personnel interne et plus des deux tiers des personnes extérieures. Sans surprise, 70% des violations de données sont motivées financièrement.

22% des violations de données impliquent des attaques de phishing

Dans son étude, Verizon a cherché à découvrir comment les violations se produisent et a découvert que près d’un tiers impliquaient des attaques de phishing, 37% impliquaient un piratage et 17% se concentraient sur des logiciels malveillants.

Le temps de détection de 60% des violations de données est de plusieurs mois ou plus

Vous vous demandez combien de temps il faut aux entreprises pour découvrir et réagir aux violations ? Le rapport Verizon révèle que ce n’est pas aussi rapide que vous le souhaitez, d’autant plus que les informations d’identification volées sont impliquées dans 37% des violations. Avec plus de la moitié des entreprises qui mettent des mois à découvrir une violation, au moment où une entreprise émet un message électronique demandant aux clients de changer leurs mots de passe, il pourrait déjà être beaucoup trop tard.

Près de 8 000 sites Web par trimestre sont compromis avec du code de formjacking

Le formjacking implique des criminels utilisant du code JavaScript pour détourner des formulaires de paiement de sites Web tels que ceux trouvés sur les sites de commerce électronique. Également appelé écrémage de cartes numériques, il est utilisé comme un moyen de voler des informations de carte de crédit ainsi que d’autres données précieuses. Selon Symantec Threat Landscape Trends – T1 2020, 7 836 sites ont été compromis par le formjacking au T1 2020. Ce chiffre est en hausse par rapport à 7 663 au trimestre précédent.

Les attaques de ransomware d’entreprise sont en hausse

Les attaques de ransomware (qui prennent des fichiers ou des systèmes en otage) représentent une menace énorme pour la sécurité des données. Selon le Résumé de la sécurité de Symantec – juillet 2020, les attaquants ciblent de grandes organisations, dont plusieurs entreprises du Fortune 500, avec le ransomware WastedLocker. Au moment de la publication du rapport, des attaques contre 31 organisations avaient déjà été détectées.

Selon le Résumé de sécurité de Symantec – janvier 2021, un nouveau type de ransomware ciblant les entreprises est apparu. Découvert par le chercheur Chuong Dong, le rançongiciel Babuk Locker se propage via des attaques opérées par des humains. Les exécutables sont personnalisés pour chaque victime de l’entreprise avec des demandes de rançon généralement de plusieurs dizaines de milliers de dollars.

Les détails de la carte American Express rapportent 35 $ dans l’économie souterraine

Selon les rapports, une carte clonée avec un code PIN peut se vendre entre 15 et 35 $, les détails d’American Express étant les plus précieux. Pendant ce temps, les informations d’identification bancaires en ligne pour les comptes détenant 2 000 $ ou plus peuvent se vendre à 65 $.

Les informations d’identification du compte Gmail valent en moyenne 156 $

Bien que ce chiffre semble élevé, il est logique de considérer que de nombreuses personnes lient d’autres comptes à leur compte Gmail. En tant que tel, l’accès à Gmail pourrait permettre à un attaquant de réinitialiser les mots de passe sur plusieurs plates-formes.

Le nombre de violations de données a diminué au cours des trois premiers trimestres de 2020

Selon l’Identity Theft Resource Center (ITRC), le nombre de violations de données au cours des neuf premiers mois de 2020 a chuté de 30% par rapport à la même période en 2019. Le nombre de personnes touchées était de plus de 292 millions, en baisse de 60 % par rapport à 2019. L’une des raisons possibles de cette baisse est que, lorsque les organisations ont adopté un modèle de télétravail à la suite de la pandémie, elles sont devenues plus conscientes des problèmes de cybersécurité et ont resserré leurs pratiques.

8,64 millions de dollars, c’est le coût moyen des violations de données aux États-Unis

Le Coût IBM 2020 d’un rapport sur les violations de données centré sur des entretiens avec plus de 3 200 professionnels de plus de 500 entreprises à travers le monde. Toutes les entreprises représentées avaient été victimes d’une violation de données au cours des 12 mois précédents.

Bien que le nombre global de violations de données signalées semble être à la baisse au fil du temps, les violations individuelles deviennent plus coûteuses et entraînent la perte ou le vol d’un nombre de plus en plus élevé de dossiers de consommateurs.

De toutes les violations examinées dans l’étude, le coût moyen d’une violation aux États-Unis était de 3,86 millions de dollars, les États-Unis ayant le coût moyen le plus élevé. Ce coût comprend des éléments tels que la perte d’entreprise, les coûts de notification et d’autres dommages. Le secteur ayant le coût moyen le plus élevé était celui des soins de santé, à 7,13 millions de dollars.

Chaque enregistrement volé dans une violation de données représente un coût de 150 $

La même étude d’IBM a révélé que le coût moyen d’un enregistrement volé est de 150 $, en légère hausse par rapport à 148 in l’année précédente.

L’utilisation d’une équipe d’intervention en cas d’incident peut réduire le coût moyen d’une violation de données de 2 millions de dollars

Dans le rapport de l’année précédente, l’impact de la présence d’une équipe d’intervention en cas d’incident n’était pas trop important, n’économisant que 360 000 dollars. Les chiffres récents suggèrent des économies beaucoup plus importantes de 2 millions de dollars sur le coût moyen d’une violation. L’automatisation de la sécurité offre des économies encore plus importantes de 3,58 millions de dollars.

La perte d’activité due à une violation de données coûte en moyenne 1,52 million de dollars

IBM a décomposé le coût des violations de données en quatre composantes principales: détection et escalade, notification, réponse après une violation et perte d’activité. Ce dernier était responsable en moyenne de coûts de 1,52 million de dollars, soit 39,4% du coût moyen total.

La détection et l’escalade, la notification et la réponse post-violation coûtent en moyenne 1,11 million de dollars (28.8 %), 0,24 million de dollars (6,2 %) et 0,99 million de dollars (25,6 %), respectivement.

Une brèche de 1 à 10 millions d’enregistrements coûte en moyenne 50 millions de dollars

Pour mettre les choses en perspective, IBM révèle le coût moyen d’une brèche d’une taille donnée (en termes d’enregistrements). Une méga violation affectant 1 million à 10 millions d’enregistrements coûte 50 millions de dollars, soit une augmentation de 19% par rapport à 2019. Une violation impliquant plus de 50 millions de documents a coûté 392 millions de dollars en moyenne, comparativement à 388 millions de dollars l’année précédente.

L’erreur humaine est la cause de 23% des violations de données

Ce ne sont pas toujours les cybercriminels qui sont responsables des violations de données et, selon IBM, près d’un quart des violations auraient pu être évitées. Ce chiffre est en légère baisse par rapport à 24% en 2019.

Il faut en moyenne 280 jours pour identifier et contenir une violation

Les violations ont pris un peu plus de temps à détecter et à contenir en 2020 (280 jours) qu’en 2019 (279 jours). Parmi les pays étudiés par IBM, le Brésil a connu l’un des temps de réponse les plus lents, les entreprises prenant en moyenne 380 jours pour identifier et contenir les violations.

Près des deux tiers des entreprises laissent plus de 1 000 dossiers sensibles ouverts à tous

Le rapport 2021 sur les risques liés aux données de Varonis Financial Services examine les évaluations des risques liés aux données menées par les ingénieurs de Varonis, afin de déterminer l’ampleur de l’exposition des informations critiques et sensibles au sein des organisations de services financiers telles que les banques, les sociétés d’assurance et les sociétés d’investissement.

L’un des domaines d’intérêt est le nombre de dossiers ouverts à tous les membres de l’entreprise. Varonis a constaté que dans 64% des sociétés de services financiers, chaque employé a accès à plus de 1 000 fichiers sensibles.

Mais peut-être plus préoccupant est quand les fichiers sensibles sont laissés ouverts. Les fichiers sensibles comprennent ceux contenant des informations telles que des informations de carte de crédit, des dossiers de santé ou des informations réglementées telles que celles soumises au RGPD, au PCI ou à la HIPAA. En effet, l’étude a révélé que 15% de tous les fichiers sensibles sont accessibles par n’importe quel employé.

Les employés des grandes organisations peuvent accéder à 20 millions de fichiers

Varonis a constaté qu’en 2020, chaque employé a accès à une moyenne de 11 millions de fichiers. Pour les grandes organisations, ce nombre est presque le double à 20 millions.

En 2019, le nombre de personnes touchées par des violations de données a diminué de 66 % par rapport à 2019

Le Centre de ressources sur le vol d’identité (ITRC) examine les divulgations de violations de données accessibles au public et publie ses principales conclusions pour 2020. Il a constaté qu’un peu plus de 300 millions de personnes ont été touchées par des violations de données déclarées publiquement en 2020. Ce nombre a diminué des deux tiers par rapport à l’année précédente.

Cependant, dans le rapport, la présidente de l’ITRC &La PDG Eva Velasquez met en garde contre la complaisance:

Ce n’est pas le moment pour les consommateurs de penser que leur risque s’est évaporé. Il y a encore des centaines de millions de dossiers exposés chaque année et les consommateurs doivent comprendre qu’il s’agit d’un risque continu qui peut avoir des impacts réels sur leur vie.

Le phishing est le type de cyberattaque le plus courant impliqué dans une violation

L’ITRC examine la cause de chaque violation de données. En 2020, les cyberattaques ont été la cause première de 878 violations signalées publiquement, touchant un total de près de 170 millions de personnes. Parmi ceux-ci, 44 % (382) ont été causés par des attaques de phishing, de smishing ou de compromission des e-mails professionnels. Un autre pourcentage de 18 a été causé par un ransomware.

Les cyberattaques et la fraude aux données figurent parmi les plus grands risques mondiaux

Le rapport Insight 2020 du Forum économique mondial décrit les plus grands risques mondiaux, y compris les catastrophes naturelles et les armes de destruction massive. Les cyberattaques et la fraude aux données se classent au troisième rang des plus inquiétantes pour les entreprises (devant les problèmes de maladies infectieuses) et au huitième rang des retombées les plus probables pour le monde.

Signalement des violations de données

Jusqu’à assez récemment, il était courant d’apprendre une violation de données bien après qu’elle ait eu lieu. Nous pourrions apprendre une violation massive des mois, voire des années après les faits. Dans certains cas, cela pourrait être dû au fait que l’entreprise elle-même n’a pas découvert la brèche depuis longtemps. Cependant, dans d’autres cas, il est apparu que des entreprises ont caché des violations ou les faits qui les entourent, afin d’éviter de porter atteinte à la réputation de l’entreprise.

Par exemple, en 2017, il a été révélé qu’Uber avait couvert une violation de données de 2016 affectant 57 millions de clients. Et aussi récemment qu’en octobre 2018, Google a admis une violation de données affectant un demi-million d’utilisateurs qui avait commencé trois ans auparavant et avait été découverte en mars 2018.

De toute évidence, ne pas informer les clients d’une violation représente une énorme menace pour la vie privée car ils ne sauront pas prendre de mesures pour atténuer les dommages potentiels. Par exemple, si vous savez que votre mot de passe a été violé, vous modifierez votre mot de passe.

Afin de protéger le droit des citoyens à savoir quand leur vie privée a été violée, de nombreux pays ont maintenant des lois fermes en place obligeant les entreprises à faire en cas de violation de données découverte. Ces lois sont centrées sur le signalement de la violation et la notification aux clients, mais peuvent également couvrir des éléments tels que la manière dont les informations sur la violation doivent être enregistrées et stockées.

Par exemple, à la fin de 2018, le Canada a apporté des modifications à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), décrivant exactement comment les organisations assujetties à la loi doivent réagir à une violation de données. Toujours en 2018, l’Alabama est devenu le dernier État américain à adopter une loi sur la notification des violations de données.

Que peuvent faire les individus face aux violations de données ?

Les particuliers dépendent fortement des entreprises pour protéger leurs informations. Ils espèrent également qu’ils seront informés dès que possible après la découverte d’une violation. Cela étant dit, vous pouvez prendre certaines mesures pour protéger vos données:

• Utilisez des mots de passe forts et uniques: De cette façon, même si quelqu’un a votre nom d’utilisateur ou votre e-mail, il lui sera difficile de pénétrer dans un compte. De longues chaînes de lettres, de chiffres et de symboles sont une bonne idée. Les mots de passe doivent également être uniques à chaque compte afin d’empêcher les pirates d’utiliser les informations de connexion d’un compte violé sur d’autres comptes, une attaque connue sous le nom de bourrage d’informations d’identification. Vous pouvez utiliser un gestionnaire de mots de passe pour vous aider à générer et à mémoriser des mots de passe.
• Respectez les avertissements: Si vous entendez parler d’une violation dans les actualités ou recevez une notification d’une entreprise avec laquelle vous traitez, agissez immédiatement. Changez immédiatement votre mot de passe et découvrez quelles informations ont pu être violées afin que vous puissiez agir. Par exemple, si votre numéro de carte de crédit a peut-être été divulgué, vous voudrez peut-être le remplacer.
• Attention aux e-mails de phishing: Bien que vous devriez prendre les notifications de violation au sérieux, notez que cela pourrait également être une tactique utilisée par les cybercriminels. Les fraudeurs peuvent envoyer des e-mails d’hameçonnage (sous le couvert d’e-mails de réinitialisation de mot de passe) qui mènent à de faux sites (d’hameçonnage), conçus pour voler des informations telles que les identifiants de connexion. Si vous recevez un e-mail de réinitialisation de mot de passe, assurez-vous qu’il est légitime en vérifiant les signes courants d’un e-mail d’hameçonnage, tels qu’un nom d’entreprise mal orthographié ou une mauvaise grammaire. Vous pouvez également ignorer complètement les liens et accéder directement au site Web de l’entreprise pour changer votre mot de passe.
• Recherchez des sites sécurisés: Lorsque vous effectuez des activités en ligne, en particulier celles impliquant des informations financières ou personnelles, assurez-vous d’utiliser un site Web de confiance (qui commence par https://). Même si vous repérez une bonne affaire, cela ne vaut pas la peine de remettre vos informations de paiement à une entreprise qui ne protégera pas vos données.
• Utilisez un VPN: Évitez les opérations bancaires et les achats en ligne lorsque vous êtes connecté à des réseaux wifi publics. L’utilisation d’un VPN peut crypter votre connexion et protéger vos données des pirates et autres espions, même sur un réseau Wi-Fi non protégé.
• Utilisez l’authentification à deux facteurs (2FA) : Si vos informations d’identification sont exposées lors d’une violation de données, la vérification 2FA ou en deux étapes (2SV) peut empêcher un criminel d’accéder à votre compte.
• Utilisation ai-je été pwned?: Inscrivez-vous sur ce site Web pour recevoir une notification rapide au cas où votre adresse e-mail aurait été impliquée dans une violation de données. Notez que vous devez vous inscrire séparément pour chaque adresse e-mail que vous utilisez.
• Surveillez vos comptes: Vous ne pouvez pas toujours avoir confiance qu’une institution financière ou une plate-forme de paiement attrapera quelque chose de mal avec votre compte. Vérifiez régulièrement les relevés pour vous assurer que personne n’y a accès et vérifiez votre rapport de crédit pour vous assurer qu’aucun nouveau compte n’a été ouvert à votre nom. N’oubliez pas de vérifier également les comptes de fidélité et de récompense; ceux-ci sont souvent oubliés, mais peuvent être d’une grande valeur pour les criminels. Les services de protection contre le vol d’identité peuvent automatiser certaines de ces vérifications.