Consultez notre dernier article sur les plus grandes failles de sécurité de 2020.

2018 a été l’année de la violation de données. Des milliards de personnes à travers le monde ont vu leurs données personnelles volées ou exposées, et la fréquence et la gravité des failles de sécurité qui se produisent ont connu une augmentation notable.

Un récent rapport réalisé par l’entreprise de sécurité numérique Gemalto, a révélé que 945 failles de sécurité ont conduit à la compromission d’un nombre stupéfiant de 4,5 milliards d’enregistrements de données au cours du premier semestre 2018. Il s’agit du plus grand nombre de brèches jamais enregistré en un seul semestre et d’une augmentation de 133 % par rapport à la même période l’année dernière.

Les régulateurs européens, y compris l’Information Commissioners Office britannique, ont constaté une forte augmentation du nombre de violations de données signalées depuis l’entrée en vigueur du GDPR le25 mai dernier.

En vertu du GDPR, les organisations sont désormais tenues de signaler toute violation de données aux autorités compétentes dans les 72 heures suivant sa détection, sous peine de se voir infliger de lourdes amendes pouvant aller jusqu’à 4 % du chiffre d’affaires annuel mondial ou 20 millions d’euros.

La nouvelle législation garantira un niveau plus élevé de transparence, d’obligation de rendre compte et de responsabilité dans la manière dont les organisations stockent et utilisent les données à caractère personnel.

L’usurpation d’identité est le principal moteur de toutes les cyberattaques et représente 65 % des violations et plus de 3,9 milliards d’enregistrements de données compromises cette année.

Des pirates informatiques externes sont à l’origine de la majorité des violations de données et le phishing reste la principale méthode d’attaque. 72 % des violations de données sont liées à la réception par les employés de courriels d’hameçonnage, suivie de près par la perte accidentelle de données.

Cliquez ici pour en savoir plus sur les plus grandes failles de sécurité de 2020

Les 5 principales failles de sécurité

Les violations de données ont touché tous les secteurs d’activité et tous les coins du monde. Vous trouverez ci-dessous cinq exemples des violations de sécurité les plus importantes qui ont fait la une des journaux cette année :

1. Exactis

Exactis

Dans l’une des plus grandes failles de sécurité de l’histoire, la société de marketing et d’agrégation de données Exactis, basée en Floride, a exposé une base de données contenant près de 340 millions d’enregistrements individuels.

La faille a été découverte en juin lorsqu’un chercheur en sécurité a trouvé les données exposées sur un serveur non protégé qui permettait un accès public. Les données comprenaient 230 millions de dossiers de consommateurs et 110 millions de contacts professionnels. Ce chiffre représente pratiquement tous les adultes des États-Unis d’Amérique.

Les données ne contenaient pas de numéros de sécurité sociale ni d’informations sur les cartes de crédit. En revanche, elles contenaient d’autres types d’informations personnelles identifiables (IPI), telles que des numéros de téléphone, des adresses personnelles et des adresses électroniques. Toutes les informations dont un criminel a besoin pour commettre une usurpation d’identité.

Chaque dossier de consommateur contenait également plus de 400 variables qui pouvaient être utilisées pour établir un profil personnel détaillé de l’individu. Il s’agit d’informations telles que les loisirs, les habitudes d’achat, la situation matrimoniale, les affiliations religieuses et politiques, les vices et la possession d’un animal de compagnie.

Cliquez ici pour lire les cinq meilleures pratiques pour éviter une violation de données.

2. Facebook

Facebook

En septembre 2018, Facebook a annoncé qu’une attaque sur son réseau informatique a exposé les données personnelles de plus de 50 millions d’utilisateurs. Selon Facebook, les pirates ont pu accéder au système en exploitant une vulnérabilité dans le code utilisé pour la fonction « Voir en tant que ».

Une fois cette fonctionnalité exploitée, les attaquants ont pu voler des « jetons d’accès », qui pouvaient être utilisés pour prendre le contrôle des comptes des utilisateurs et accéder à d’autres services. La faille a également touché des applications tierces connectées à Facebook et, par mesure de précaution, l’entreprise a déconnecté 90 millions d’utilisateurs de leurs comptes et réinitialisé les jetons d’accès.

Cette faille de sécurité est la plus importante en 14 ans d’histoire de l’entreprise et vient couronner une année très mouvementée qui a vu l’entreprise gérer les retombées du scandale Cambridge Analytica et les allégations persistantes selon lesquelles la plateforme a été utilisée dans le cadre de campagnes de désinformation russes.

La Commission irlandaise de protection des données a ensuite ouvert une enquête formelle sur cette violation, qui pourrait entraîner une amende allant jusqu’à 1,63 milliard de dollars pour le géant des médias sociaux.

3. Cathay Pacific

Cathay Pacific

La compagnie aérienne Cathay Pacific, basée à Hong Kong, a été victime de la plus grande faille de sécurité aérienne au monde, après que les données de 9,4 millions de passagers ont été divulguées.

La faille a été annoncée en octobre mais a eu lieu en mars de cette année lorsque les pirates ont eu accès à 860 00 numéros de passeport, 245 000 numéros de carte d’identité de Hong Kong, 403 numéros de cartes de crédit expirées et 27 numéros de cartes sans code de vérification CVV.

Les données complètes exposées lors de la violation comprenaient les noms des passagers, leur nationalité, leur date de naissance, leur adresse, leur numéro de téléphone, leur adresse électronique, leur numéro de passeport, leur numéro de carte d’identité, leur numéro d’adhérent au programme de fidélisation, les commentaires du service clientèle notés sur les comptes et l’historique des informations de voyage.

La compagnie aérienne a fait l’objet de vives critiques pour avoir tardé sept mois à signaler la violation et le commissaire à la protection de la vie privée de Hong Kong a depuis lors lancé une enquête de conformité, déclarant que le transporteur pourrait avoir violé les règles en matière de protection de la vie privée.

4. Dixons Carphone

Dixons Carphone

En juin 2018, Dixons Carphone a révélé une importante violation de données concernant 5,9 millions de cartes bancaires et les données personnelles de près de 10 millions de clients. Les données piratées comprenaient des noms, des adresses et des adresses électroniques.

Le détaillant en électronique a annoncé qu’il avait découvert, lors d’un examen de ses systèmes, une tentative d’accès non autorisé à 5,9 millions de cartes dans l’un des systèmes de traitement de Currys PC World et de Dixons Travel Stores.

Le groupe a déclaré qu’il n’y avait aucune preuve de fraude car la majorité des cartes étaient protégées par des systèmes de carte à puce et de vérification de la valeur de la carte (CVV). Cependant, environ 105 000 cartes non européennes sans carte à puce ont été compromises lors de l’attaque.

Lorsque le groupe a signalé la violation pour la première fois, il a estimé que les données de 1,2 million de clients avaient été compromises, mais ce chiffre est maintenant dix fois plus élevé que ce que l’on pensait au départ.

Cliquez ici pour en savoir plus sur la violation de données de Dixons Carphone affectant 5,9 millions de clients.

5. British Airways

British Airways

Une nouvelle attaque contre l’industrie aéronautique, British Airways a annoncé qu’une importante faille de sécurité avait exposé les données personnelles de 380 000 clients. La compagnie aérienne a confirmé qu’au cours d’une période de deux semaines, les données personnelles et financières des clients effectuant ou modifiant des réservations avaient été compromises.

La violation a eu lieu entre le 21 août et le 5 septembre 2018, et dans ce laps de temps, les pirates ont pu accéder aux noms, adresses, adresses électroniques, numéros de cartes de crédit, dates d’expiration et codes de sécurité. Les données relatives aux voyages et aux passeports n’ont pas été affectées par la violation.

La compagnie aérienne a récemment révélé que les données de 185 000 autres clients ayant effectué des réservations de primes entre le 21 avril et le 28 juillet ont également été exposées, ce qui porte le nombre total de clients concernés à 565 000.

Articles connexes

Comment protéger votre entreprise d’une violation de données ?

Cinq mythes sur la cybersécurité qui mettent votre entreprise en danger

7 cyberhabitudes pour les organisations de taille moyenne

La sensibilisation à la cybersécurité pour les nuls