Empêcher les fuites de données : le guide

violations de données

En 2020, l’une des principales préoccupations mondiales est la protection et la confidentialité des données.

Les coûts liés aux fuites de données ont augmenté de 12 % en 2019 et ils continuent d’augmenter.

Selon les recherches d’IBM et de Ponemon, le coût moyen d’une fuite de données est d’environ 3,32 millions d’euros, et plus de 1 200 cas ont été signalé pendant cette période.

Toutes les organisations sont conscientes que la cybersécurité est primordiale pour la sécurité des données, mais l’erreur humaine continue d’être une difficulté majeure pour le personnel informatique chargé de créer un environnement sécurisé pour les employés et les clients.

Comment les pirates informatiques obtiennent-ils les données ?

Avant de se lancer dans la prévention, il est important de comprendre comment les pirates informatiques exploitent les vulnérabilités et trouvent des moyens de contourner les défenses actuelles.

Tous les cybercriminels ne sont pas des pirates informatiques haut de gamme qui trouvent des vulnérabilités sur des équipements coûteux. Certains d’entre eux exécutent des scripts librement disponibles sur Internet.

D’autres utilisent le phishing et ses variantes (par exemple, le vishing et le smishing) pour duper leurs victimes.

Comme le phishing ne nécessite pas de connaissances informatiques avancées, il peut être utilisé par un pirate pour voler des informations d’identification, ou pour scanner un réseau à la recherche de documents importants.

Les attaquants ont plusieurs outils à leurs dispositions, mais voici les cinq principales tactiques qu’ils utilisent afin d’accéder aux données d’une organisation.

1. Logiciels ou microprogrammes périmés non corrigés

Les fournisseurs de logiciels et de matériels informatiques publient constamment des correctifs pour remédier aux vulnérabilités de leurs produits, mais il appartient aux organisations d’appliquer ces correctifs le plus rapidement possible.

Plus un matériel reste longtemps sans correctif, plus la probabilité qu’un attaquant analyse et trouve une vulnérabilité est élevée.

La tristement célèbre brèche d’Equifax, lors de laquelle 143 millions d’utilisateurs ont perdu des données au profit d’un pirate informatique, était dûe à un serveur non patché.

L’application Apache Struts utilisée sur les serveurs web publics d’Equifax avait un correctif de vulnérabilité publié en mars 2017, mais les scanners des attaquants ont trouvé l’équipement non patché et l’on exploité en septembre 2017.

L’absence d’un correctif approprié a été la cause principale de l’une des plus grandes fuites de données de la décennie.

2. Erreur humaine et phishing

Dans le rapport d’enquête de Verizon sur les fuites de données de 2019 (DBIR), le piratage était un vecteur important qui a résulté en des fuites de données.

Le piratage peut se présenter de différentes manières, mais les deux plus grandes sous-catégories sont l’application web et le vol d’identités.

Les vulnérabilités des applications web résultent souvent des logiciels non patchés décrits ci-dessus, mais la deuxième cause est le vol d’informations d’identification lors de campagnes de phishing.

Les campagnes de phishing comprennent l’utilisation d’e-mails, de SMS et d’appels vocaux.

La qualité de la formation fournie aux utilisateurs concernant le phishing a un impact sur la réduction des risques de perte de données.

Cependant, chaque année, les employés vont et viennent avec de nouveaux employés moins susceptibles de détecter une attaque.

Le phishing et l’erreur humaine devraient donc être les principales préoccupations des organisations qui craignent des violations importantes de données.

3. Téléchargement de malwares

Les malwares sont souvent associés à des campagnes de phishing utilisant la messagerie électronique, mais cela ne représente qu’une partie de ce que les pirates peuvent faire lorsqu’ils parviennent à s’introduire dans le réseau d’une organisation.

Les ransomwares sont toujours un problème pour les organisations, mais leur popularité a baissé.

Selon l’enquête de Verizon mentionnée ci-dessus, les portes dérobées, les applications de contrôle et de commande (C2), les pièces jointes aux emails et les enregistreurs de frappe sont les outils actuels du piratage.

Chacun de ces vecteurs de malwares peut entraîner le vol d’informations d’identification et la fuite de données.

Les attaques de malware les plus courantes utilisent des emails comprenant des documents Office malveillants en pièce jointe.

Une fois le téléchargement du document effectué, l’utilisateur qui l’ouvre est invité à exécuter des macros (sauf si Office est configuré pour toujours exécuter des macros sans notification).

Ces macros téléchargent des malwares supplémentaires qui peuvent inclure des portes dérobées, des ransomwares, des enregistreurs de frappe, des applications C2 et bien d’autres.

4. Menaces internes

Les menaces internes peuvent provenir d’un utilisateur malveillant ou d’un utilisateur innocent qui ouvre des pièces jointes malveillantes.

Elles sont dangereuses pour la cybersécurité, mais les utilisateurs malveillants sont d’un autre type que les utilisateurs naïfs standard dans une organisation.

Les utilisateurs malveillants peuvent faire de l’espionnage d’entreprise lors duquel des concurrents les paient pour qu’ils fournissent des secrets commerciaux sensibles.

Il peut également s’agir d’employés mécontents qui cherchent simplement à nuire à leur employeur.

Les fuites de données ont souvent des motifs monétaires, et les données volées par les utilisateurs pourraient leur rapporter gros, notamment des millions d’euros s’ils parviennent à obtenir suffisamment d’informations de qualité.

Experian a fait des recherches sur la valeur des données, et les plus précieuses sont les données médicales qui peuvent rapporter au vendeur jusqu’à 1 000 dollars pour chaque information fournie.

5. Vol physique d’un appareil

Lorsque les employés sont autorisés à apporter leurs propres appareils au bureau ou à leur domicile, cela facilite leur travail. Cependant, le stockage des données de l’entreprise sur ces appareils augmente les risques de cybercriminalité.

Les équipements mal configurés ou ceux qui ne sont pas, ou peu protégés contre la cybersécurité exposent l’entreprise à une perte potentielle de données après un vol physique.

Que les employés utilisent un Smartphone, un ordinateur portable ou une tablette, si votre entreprise ne dispose pas d’une politique de récupération des données, elle sera beaucoup plus vulnérable à une fuite de données.

Non seulement les appareils pourraient être volés, mais les données qu’ils contiennent peuvent également tomber entre les mains des pirates.

Et ce n’est pas tout, si vos employés les connectent au Wi-Fi public, sans les bonnes configurations de sécurité, vos données sensibles pourraient être accessibles à toute personne connectée au hotspot.

Explorer les dangers liés aux erreurs humaines contre les fuites de données

Ce qui rend les erreurs humaines si frustrantes pour le personnel informatique, c’est que les utilisateurs ne sont pas naturellement qualifiés pour détecter les attaques en cours.

Ils négligent donc le maillon le plus faible de la chaîne de cybersécurité.

Pire encore, selon l’enquête de Verizon, le temps moyen nécessaire pour qu’une brèche soit exploitée par un pirate est de 140 secondes. Par contre, il faut des mois pour découvrir la brèche et plusieurs jours de plus pour la contenir.

Les organisations devraient former les utilisateurs à la détection des attaques, mais même le personnel informatique formé se fait encore prendre par les attaques courantes d’ingénierie sociale et de phishing.

Dès qu’un utilisateur télécharge des fichiers malveillants, des malwares tels que les ransomwares analysent rapidement le réseau et peuvent être dévastateurs pour l’intégrité des données.

Prenez l’une des attaques de ransomware les plus rapides et les plus destructrices de la décennie 2010: WannaCry.

Une fois exécuté, il exploite Windows Server Message Block (SMB) pour analyser le réseau à la recherche de répertoires ouverts où il a chiffré les données de l’entreprise et a demandé une rançon.

WannaCry était une cyberattaque mondiale qui a touché 200 000 ordinateurs dans 150 pays et dont les coûts de réparation et de récupération des données étaient estimés à des milliards d’euros.

Selon Kaspersky, les facteurs humains ont joué un rôle majeur dans le succès de cette attaque de malware.

Le personnel informatique partage une partie de la responsabilité de la réussite des campagnes de phishing.

Le contournement des privilèges et les abus de l’utilisation de l’Internet permettent aux malwares d’infester une infrastructure informatique.

Les utilisateurs disposant d’un ensemble d’autorisations devraient être transférés vers de nouveaux services où des autorisations supplémentaires leur seront accordées sans que les anciennes autorisations ne soient révoquées.

Dans d’autres cas, les utilisateurs peuvent quitter l’organisation où l’accès à certains fichiers était négligé. Ils peuvent ainsi avoir encore des autorisations supplémentaires.

Le résultat est qu’un utilisateur qui a été dans l’entreprise pendant un certain temps pourrait avoir l’équivalent d’un accès administratif sur le réseau, ce qui fait de lui la cible parfaite d’une attaque de spear phishing.

La messagerie électronique d’entreprise et personnelle joue un rôle majeur dans les cyberattaques

La messagerie électronique est l’une des formes de communication les moins sûres sur d’internet, mais elle est encore pratiquée et ancrée dans toute entreprise.

Il existe trois principaux types de préoccupations en matière de cybersécurité concernant la messagerie électronique professionnelle et personnelle :

  • Les attaques de phishing, y compris le spear-phishing, où les utilisateurs sont amenés par la ruse à ouvrir des fichiers malveillants ou à divulguer des données privées telles que des informations d’authentification.
  • Les comptes piratés en raison de l’usurpation d’identité.
  • Les dispositifs volés avec le compte de messagerie électronique de l’entreprise et avec des contrôles de cybersécurité insuffisants.

Bien que les comptes de messagerie électroniques personnelles et d’entreprises doivent être séparés, il n’est pas rare que des utilisateurs utilisent un compte de messagerie électronique personnel avec des données de leur entreprise.

Par exemple, si un utilisateur décide de travailler à domicile, il pourrait transférer des messages via son compte de messagerie électronique personnel.

Si son compte de messagerie personnel est piraté, la divulgation des données pourrait poser problème sans que l’organisation n’ait aucun contrôle sur le système tiers.

Les cyberattaquants sont bien conscients des règles et des procédures de fonctionnement peu précises qui entourent la messagerie électronique, c’est pourquoi ils choisissent ce moyen pour mener facilement leurs attaques.

Si d’autres menaces peuvent être maîtrisées, pour éviter les attaques lancées via les e-mails, il faut toutefois mettre en place des règles strictes concernant le transfert de données sensibles.

Les menaces concernant les utilisateurs sont une réelle préoccupation pour les professionnels de l’informatique, y compris le phishing, mais si vous mettez en place une défense fiable pour la messagerie électronique, vous pourrez réduire considérablement les risques d’une cyberattaque.

Les comptes de messagerie électronique piratés sont souvent le résultat du phishing. Lorsque les utilisateurs pensent que leurs comptes sont piratés, ils supposent qu’un attaquant vise délibérément leurs données.

En réalité, la plupart des attaques actuelles sont écrites de façon non ciblée.

Des milliers d’e-mails de phishing sont envoyés là où les attaquants trouvent simplement les utilisateurs de la botte de foin qui pourraient leur donner accès à des données sensibles.

En outre, les attaquants établissent de longues listes d’identifiants volés et les vendent ensuite en ligne où des centaines d’autres attaquants peuvent pirater des comptes vulnérables.

En janvier 2019, 800 millions d’identifiants de connexion ont été téléchargés sur le dark web et sur les forums de piratage.

Les identifiants divulgués étaient le résultat d’attaques de phishing et de fuites de données accumulées jusqu’à ce que les attaquants puissent partager et vendre des données sensibles.

Cet événement n’est qu’une des nombreuses fuites de données qui impliquent le phishing.

Après qu’un utilisateur a divulgué des informations d’identification sur le réseau, les attaquants enregistrent ces informations dans une base de données avec d’autres informations d’identification qui leur servent d’appât pour mener d’autres attaques de phishing.

Une fois les données vendues, n’importe quel utilisateur peut effectuer une recherche sur un nom de compte ou un email et trouver le mot de passe divulgué.

Les attaquants prennent une base de données d’informations d’identification et utilisent des scripts pour tenter de s’authentifier.

En cas de succès, le compte compromis peut être utilisé pour installer un malware sur le réseau, écouter les données de l’entreprise, mettre en place des portes dérobées supplémentaires au cas où la compromission serait détectée, et même installer un malware qui donnera le contrôle à distance du dispositif local.

Il n’est pas rare que les utilisateurs utilisent le même mot de passe sur plusieurs plateformes, de sorte qu’une attaque réussie sur un compte de messagerie personnel pourrait signifier une violation d’un compte de messagerie professionnel.

L’authentification à deux facteurs peut contribuer à atténuer et à dissuader un attaquant novice, mais le protocole SS7 responsable du transfert d’un code PIN aléatoire à deux facteurs vers le smartphone d’un utilisateur a été compromis et n’est pas un obstacle difficile à surmonter pour un mauvais acteur avisé.

Expirer les mots de passe et forcer les utilisateurs à les changer après un certain délai (par exemple 30 jours) réduit le risque de divulgation des identifiants, mais les utilisateurs utiliseront souvent un mot de passe similaire ou identique plusieurs fois.

Les règles d’accès au réseau permettent de surmonter cet obstacle en obligeant les utilisateurs à changer leur mot de passe pour une valeur unique.

Cependant, les attaquants disposent toujours d’une fenêtre ouverte où un compte d’utilisateur pourrait être vulnérable à un accès non autorisé.

Le coût d’une fuite de données pourrait atteindre près de 130 millions d’euros par an en 2020

La perte de données sensibles par un attaquant n’est que le début d’un long processus qui comprend des enquêtes médico-légales pour trouver l’auteur (si possible) :

  • La notification aux clients que leurs données ont été divulguées
  • Les ramifications juridiques des poursuites judiciaires
  • Les dommages causés à la marque et la perte de confiance conduisant à une éventuelle chute du cours de l’action et à l’abandon des clients.

En fait, de nombreux autres facteurs peuvent affecter l’entreprise pendant des années.

Comme indiqué précédemment, en 2019, IBM a signalé que le coût moyen d’une fuite de données était de 3,32 millions d’euros.

Une étude récente de Juniper Research indique également qu’en 2020, on devrait s’attendre à une croissance exponentielle des coûts annuels des fuites de données.

Selon les estimations, le coût d’une fuite de données en 2020 pourrait atteindre près de 130 millions d’euros par an, avec un potentiel de plus de 1700 milliards d’euros au niveau mondial.

L’augmentation des coûts est due au fait que le piratage devient une activité professionnelle et au potentiel monétaire pour un attaquant qui réussit, selon le type de données et le nombre d’enregistrements qu’il a obtenu.

La popularité de l’IdO offre aussi aux attaquants de nouvelles opportunités aux attaquants. La plupart des consommateurs et des organisations sont connectés au cloud, ce qui implique un autre risque en termes de cybercriminalité.

L’autre problème qui contribue à l’augmentation des coûts des attaques est le temps considérable qu’il faut pour identifier une brèche.

Après des mois d’accès non autorisé, un attaquant peut exfiltrer des téraoctets de données potentiels sans déclencher les capteurs de détection d’intrusion.

Les normes réglementaires telles que les exigences PCI-DSS ou la loi HIPAA prévoient des amendes élevées pour les organisations dont la cybersécurité est insuffisante et ne respecte pas des règles spécifiques.

Par exemple, le coût moyen d’une violation des données de santé est de 363 euros par enregistrements, ce qui impose aux organismes de santé la responsabilité de protéger les données à tout prix.

Le coût d’une fuite de données n’est pas immédiatement pris en compte et ne disparaît pas après une enquête. Les coûts résiduels persistent pendant plusieurs années pour certaines organisations.

Target, dont les faux pas ont conduit à l’une des plus importantes violations de numéros de carte de crédit en 2013, a réglé des poursuites judiciaires dans 47 États pour 15,65 millions d’euros quatre ans après des incidents de cybersécurité.

De mars 2015 à mai 2017, Target a payé des millions d’euros à Mastercard et Visa, et d’autres frais à des établissements de crédit et des banques.

Au total, Target a payé plus de 250 millions d’euros en ce qui concerne la fuite de données, dont plus de 126 millions d’euros étaient des frais juridiques.

Prévention des fuites de données par la cybersécurité de la messagerie électronique

Sur les différentes causes de fuite de données susmentionnées, trois d’entres elles peuvent être liées à une utilisation abusive de la messagerie électronique.

Qu’il s’agisse d’une menace liée à un utilisateur qui utilise son compte de messagerie électronique pour envoyer des données à un tiers ou d’un utilisateur naïf, victime d’une attaque de phishings.

Les outils de surveillance, de filtrage et de cybersécurité de la messagerie électronique sont nécessaires à la cybersécurité et à la protection des données.

Mais même les cadres de haut niveau et les utilisateurs privilégiés sont parfois victimes d’escroqueries de phishing.

La formation et l’éducation des utilisateurs sont les principales méthodes utilisées par la plupart des organisations. Tous les utilisateurs devraient être formés pour identifier le phishing, même les utilisateurs peu privilégiés.

Des attaques lancées via le contournement de privilèges peuvent se produire si un attaquant accède à des comptes d’utilisateurs

. Le moyen le plus efficace de prévenir les fuites de données dûes au phishing et à d’autres attaques lancées via les emails consiste à les identifier de manière proactive, à filtrer les e-mails et à mettre en quarantaine les messages suspects.

La cybersécurité concernant la messagerie électronique n’est pas une nouvelle technologie, mais il faut également mettre en place un système utilisant l’intelligence artificielle (IA)  pour mieux détecter les messages malveillants entrants.

Le protocole DMARC (Domain-based Message Authentication, Reporting & Conformance) élimine les adresses d’expéditeurs usurpées, qui sont souvent utilisées lors d’une attaque de phishing.

L’utilisation de ce protocole avec des filtres utilisant l’IA réduit les chances qu’un message électronique e-mail malveillant atteigne la boîte de réception d’un utilisateur ciblé. Ajoutez à cela une formation, et tout faux négatif sera inefficace.

Les logiciels et microprogrammes non patchés ont été les principales raisons des cybercriminalités de ces dernières années, et la seule façon d’éviter ce fait est de maintenir un calendrier de mises à jour fréquentes pour toutes les infrastructures.

Les fournisseurs annoncent toujours les nouveaux correctifs et mises à jour ainsi que les vulnérabilités corrigées en installant les dernières versions de leurs microprogrammes.

Les organisations qui permettent aux utilisateurs d’emporter chez eux des appareils d’entreprises doivent prendre des précautions en cas de vol.

Le chiffrement du disque local élimine le risque de vol de données sur chaque appareil, mais d’autres options incluent des applications de suivi et d’effacement des données à distance.

Il est possible que le dispositif ne soit jamais retrouvé, mais l’effacement des données permet à l’entreprise de se prémunir contre les fuites de données.

En plus de la cybersécurité physique du dispositif, l’utilisation d’un VPN permettra d’éviter les écoutes et le vol de données lorsque les employés utilisent le Wi-Fi public.

Les services VPN crypteront toutes les données qui passent par le point d’accès Wi-Fi, de sorte que les routeurs de points d’accès mal configurés ou les attaquants qui écoutent les données ne pourront rien faire.

Prévisions en matière de cybersécurité à surveiller en 2020

Personne ne peut vous dire ce qui se passera au cours de la prochaine décennie, mais le fait est que le paysage de la cybersécurité est beaucoup plus avancé qu’il ne l’était en 2010.

De nos jours, les attaquants disposent de plus de technologies, et le cloud est de plus en plus prisé, avec l’inconvénient d’impliquer plus de risques et de menaces supplémentaires pour les organisations.

Pour faire face à cette situation, il faut être proactif.

C’est la meilleure solution pour éviter les attaques qui exploitent les équipements obsolètes.

Voici quelques tendances à suivre pour éviter les fuites de données

Le bourrage d’identifiants continuera de sévir dans les organisations. Il consiste à l’utilisation de listes de côtes en ligne pour trouver des comptes vulnérables.

Les organisations auront besoin d’une meilleure détection des intrusions et de mettre en place une authentification à plusieurs facteurs pour aider à arrêter les attaquants.

Le phishing continuera d’être l’une des méthodes favorites des attaquants. Entre l’installation de malwares et le vol potentiel d’identifiants, les attaquants peuvent lancer des milliers d’e-mails en une seule fois à des utilisateurs ciblés.

Il suffit qu’un seul utilisateur envoie les bonnes informations pour que la fuite de données soit réussie.

Les filtres de messagerie électronique et la cybersécurité permettant de détecter ces attaques réduiront considérablement le succès du phishing pour l’attaquant.

  • Les attaques de ransomwares apporteront le meilleur profit aux attaquants. Les organisations doivent choisir entre les sauvegardes et le paiement de la rançon. Pour certaines organisations, la seule option sera de payer l’attaquant s’il n’existe pas de sauvegardes.
  • Les utilisateurs de Windows 7 seront une cible. La « fin de vie » de Windows 7 était le 14 janvier 2020, ce qui signifie que Microsoft ne mettra plus de patchs qui permettront d’éviter les vulnérabilités. Les utilisateurs utilisant des ordinateurs fonctionnant sous Windows 7 se mettent en danger et seront vulnérables.
  • Les attaquants utiliseront l’IA et l’apprentissage machine (ML) à leurs avantages. L’IA et le ML peuvent être utilisés pour de bon, mais les attaquants peuvent également s’en servir pour identifier des vulnérabilités potentielles. L’IA sera généralisée pour la plupart des organisations, mais les attaquants exploiteront également l’avantage de cette technologie.