Il ne se passe pas une semaine sans qu’une violation de données ne fasse la une des journaux. Les cybercriminels ont normalisé l’hameçonnage et de vastes quantités de données volées en résultent.


Un rapport récent de l’organisme du secteur de la sécurité L‘ISACA montre que moins d’un quart des consommateurs britanniques estiment que les entreprises protègent leurs données personnelles. Le rapport souligne également l’impact réel des pertes de données, près de la moitié des consommateurs déclarant qu’ils ne traiteraient plus avec une entreprise ayant subi une violation de données.

La perte de données est synonyme de perte de clients, d’amendes importantes et d’atteinte à la réputation. Il est important de savoir comment réagir à une violation de données lorsqu’elle se produit.

Voici nos meilleures pratiques pour faire face à une violation de données.

Informations personnelles et protection des données

Les données personnelles sont tout ce qui peut être utilisé pour identifier une personne. Par exemple, le nom, l’adresse, l’âge, l’adresse électronique, le numéro de téléphone, etc. Ces données sont comme de la poussière d’or pour les cybercriminels et sont menacées par une simple exposition accidentelle.

Les données personnelles doivent être protégées conformément aux diverses réglementations en matière de protection des données et de la vie privée. Par exemple, le Royaume-Uni  Le Data Protection Act 2018 (DPA2018) décrit les règles de protection des données visant à garantir la sécurité des données personnelles. Les principes de base du DPA2018 sont que les données doivent être :

  • utilisés de manière équitable, légale et transparente
  • utilisés à des fins spécifiques et explicites
  • utilisés de manière adéquate, pertinente et limitée à ce qui est nécessaire
  • exactes et, le cas échéant, mises à jour
  • conservés pour une durée n’excédant pas celle nécessaire
  • traitées d’une manière qui garantisse une sécurité appropriée, y compris la protection contre le traitement, l’accès, la perte, la destruction ou les dommages illicites ou non autorisés

Le RGPD 2018 est parfois comparé au GDPR de l’UE. En tant que tel, le DPA 2018 est également appelé GDPR britannique. Il existe certaines différences entre le RGPD 2018/RGPD britannique et le RGPD de l’UE, comme le traitement des données criminelles qui est moins strict au Royaume-Uni. De même, les motifs légitimes de profilage sont moins stricts au Royaume-Uni que dans l’UE.

Cependant, tous deux exigent que les données à caractère personnel soient protégées et que certaines conditions soient remplies en cas de violation. Il s’agit notamment des règles de notification des violations et des amendes potentielles en cas de non-conformité.

Comment se produit une violation de données ?

Chaque fois que des données sont créées, stockées, partagées ou utilisées, elles risquent d’être volées ou accidentellement exposées. Diverses cybermenaces sont à l’origine des violations de données, notamment

  • Phishing – les fraudeurs volent des données directement en utilisant des sites web malveillants. Les cybercriminels utilisent également le spear phishing pour voler des identifiants de connexion. Ces identifiants sont ensuite utilisés pour accéder aux réseaux et applications de l’entreprise. De même, les cybercriminels utilisent le spear phishing pour voler les identifiants de connexion.  les identifiants du personnel sans privilèges peuvent conduire à des piratages de bases de données et à des violations massives de données.
  • Ingénierie sociale – les cybercriminels incitent les employés à leur fournir des données personnelles qu’ils utilisent ensuite pour commettre d’autres délits. Les fraudeurs utilisent de nombreux moyens pour réaliser l’ingénierie sociale, notamment les appels téléphoniques et les médias sociaux. Ces attaques peuvent finalement conduire à des violations de données plus importantes.
  • Composants web mal configurés – de simples erreurs de configuration peuvent laisser les serveurs web et les bases de données à la portée des pirates.
  • Vulnérabilités logici elles – les failles dans le code des logiciels peuvent rendre les bases de données, les serveurs web et d’autres logiciels vulnérables à une attaque. Souvent, les vulnérabilités logicielles sont utilisées avec d’autres vecteurs d’attaque, tels que le phishing, pour installer des logiciels malveillants, tels que des rançongiciels. Cela conduit alors à des violations de données plus importantes.
  • Infection par des logiciels malveillants – toutes les techniques et tactiques susmentionnées peuvent entraîner l’infection par des logiciels malveillants. Par exemple, un logiciel malveillant peut conduire à l’exfiltration de données vers un cybercriminel qui attend de les mettre en vente sur une place de marché du dark web. Il peut également conduire à une infection par un ransomware. Souvent, les ransomwares volent des données avant de les chiffrer et de tenter de les extorquer.
  • Violations accidentelles de données – les données personnelles ne sont pas seulement menacées par les cybercriminels. L’exposition accidentelle de données est une forme de violation de données qui peut résulter de simples erreurs et d’actions négligentes.

Le rapport d’ IBM « The Cost of a Data Breach 2022 » (Le coût d’une atteinte à la protection des données) a révélé que

  • Les principaux vecteurs d’attaque à l’origine d’une violation de données sont le vol ou la compromission d’informations d’identification (19 % des violations), le phishing (16 % des violations) et la mauvaise configuration du cloud (15 % des violations). Tous ces vecteurs peuvent être causés par une erreur humaine ; par exemple, un employé ne se rend pas compte qu’il est victime de phishing et clique sur un lien malveillant qui mène à des informations d’identification volées.

Des chiffres similaires sont tirés du Verizon Data Breach Investigation Report (rapport d’enquête sur les violations de données) pour 2022 :

  • 82 % des violations impliquent un être humain, par exemple en cliquant sur un lien d’hameçonnage à un moment ou à un autre de l’attaque.
  • 62 % des violations de données concernent des fournisseurs de la chaîne d’approvisionnement. Là encore, les attaquants ont utilisé des tactiques d’ingénierie sociale pour cibler des fournisseurs tiers et attaquer des entreprises situées en amont de la chaîne.

Les dommages que peuvent causer les pirates informatiques

Les fraudeurs utilisent les informations personnelles pour perpétrer toute une série de cybercrimes. Par exemple, l’usurpation d’identité : le crime le plus répandu au Royaume-Uni est l’usurpation d’identité.  La base de données nationale sur la fraude CIFAS a enregistré une augmentation de 11 % des cas d’usurpation d’identité au cours du premier semestre 2021. En outre, le CIFAS a constaté une croissance encore plus importante en 2022, avec des cas d’usurpation d’identité en hausse d’un tiers par rapport aux chiffres de 2021.

L’usurpation d’identité entraîne des pertes financières pour les personnes et les entreprises qui traitent avec le fraudeur à l’origine de l’usurpation d’identité. Ainsi, les entreprises et les particuliers britanniques perdent environ 4 milliards de livres sterling par an à cause de la fraude liée à l’identité.

Le rapport sur le coût des violations de données présente les preuves de l’impact d’une violation de données :

  • Le coût moyen d’une violation de données en 2022 était de 4,2 millions de dollars (3,8 millions de livres sterling).

Le coût d’une violation de données comprend

  • Coûts de réparation des dommages directs causés aux systèmes informatiques
  • Atteinte à la réputation
  • Amendes pour non-respect de la réglementation
  • Dommages aux clients ; souvent, les violations de données peuvent donner lieu à des actions collectives.
  • Licenciements et problèmes de moral du personnel
  • Fuite potentielle de propriété intellectuelle ou de secrets d’entreprise.

Que faire en cas de violation de données ?

Toute organisation victime d’une violation de données doit disposer d’un plan solide pour en atténuer l’impact. Voici quelques idées et conseils sur la manière de gérer une violation de données :

Restez calme

Une violation de données personnelles s’est produite : la gestion de la situation est essentielle pour contenir l’événement et en minimiser l’impact. Restez calme et résolvez les problèmes.

Évaluer les dommages

L’enquête sur l’événement est une tâche urgente. Vous devez informer les autorités si la violation répond aux critères requis pour en faire une violation à notifier. Par exemple, au Royaume-Uni, la  L’Information Commissioner’s Office (ICO) doit être informé dans les 72 heures suivant la découverte d’une violation de données.

Enquête sur l’incident

Consignez tous les faits entourant l’incident au fur et à mesure que vous les découvrez. Il est essentiel que vous enregistriez les événements et que vous indiquiez les dommages. Ce registre peut être utilisé comme preuve si l’affaire est portée devant les tribunaux.

Contenir la brèche

Vous pouvez élaborer une stratégie de confinement des brèches au fur et à mesure que vous évaluez les dommages et que vous enregistrez ce qui s’est passé. Les mesures de confinement dépendent du type d’incident qui s’est produit. Par exemple, une attaque par ransomware nécessitera des mesures de confinement plus techniques qu’une erreur d’envoi d’un courriel contenant des données de clients. Le type de mesures à prendre pour contenir les différents types d’incidents doit être soigneusement décrit dans un  la politique de sécurité.

Évaluer le risque

Évaluez les dommages causés par la violation de données aux personnes concernées. Par exemple, y a-t-il un risque d’usurpation d’identité ou une personne pourrait-elle subir des dommages physiques ? La compréhension du niveau de risque aidera votre entreprise à réagir de manière appropriée.

Réagir à l’incident

La réponse à une cyberattaque comporte de nombreux aspects. Il s’agit notamment de gérer les conséquences de la perte de données à caractère personnel du point de vue des personnes concernées. Cela signifie également que votre organisation doit réévaluer son dispositif de sécurité. Examinez les points sur lesquels les mesures existantes ont échoué. Avez-vous besoin d’une formation de sensibilisation à la sécurité plus régulière ? Utilisez-vous le cryptage de manière appropriée ? Une réponse mesurée examinera l’ensemble de la chaîne d’événements de l’incident afin que vous puissiez renforcer la sécurité de votre entreprise.

Mesures utiles en cas de violation de données

Une violation de données peut causer des dommages incommensurables à une organisation. Toutefois, comme nous l’avons mentionné plus haut, c’est au niveau du facteur humain dans la chaîne d’événements qui conduit à une violation de données qu’il est possible d’apporter un véritable changement.

Les conclusions du rapport de l’ISACA démontrent l’efficacité de la formation à la sécurité. Le rapport indique que 80 % des organisations ont déclaré que  La formation à la sensibilisation à la sécurité a un effet positif sur la prise de conscience des employés.

En utilisant la formation à la sensibilisation à la sécurité du personnel comme mesure fondamentale dans la lutte contre les cyberattaques, une organisation peut les prévenir. En ajoutant à cette formation à la sécurité des mesures telles que le cryptage des données et une authentification solide, la probabilité d’une violation de données malveillante ou accidentelle est beaucoup plus faible.

Les étapes clés d'une gestion efficace des violations de données