Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORER KITEWORKS
Home > Blog Sécurité et Conformité > Gestion des risques liés à la cybersécurité > Les 11 Principales Fuites de Données de 2024 : Pourquoi la Sensibilité des Données Prime sur le Nombre d’Enregistrements pour Mesurer l’Impact Réel
Pourquoi la Sensibilité des Données Prime sur le Nombre d'Enregistrements pour Mesurer l'Impact Réel

Les 11 Principales Fuites de Données de 2024 : Pourquoi la Sensibilité des Données Prime sur le Nombre d’Enregistrements pour Mesurer l’Impact Réel

par Patrick Spencer updated avril 14, 2025 Gestion des risques liés à la cybersécurité
temps de lecture: 9 minutes

Les violations de données sont devenues de plus en plus courantes, mais leur véritable impact va bien au-delà des chiffres en gros titres. Le rapport récemment publié par Kiteworks “Top 11 des violations de données de 2024” applique un indice sophistiqué d’exposition au risque pour mesurer la gravité des violations à travers plusieurs dimensions, révélant des insights surprenants sur ce qui détermine réellement l’impact d’une violation. Cette analyse montre que la sensibilité des données l’emporte sur le nombre d’enregistrements pour déterminer la gravité d’une violation, prouvant que ce qui a été volé compte plus que la quantité prise.

Vous pensez que votre organisation est sécurisée. Mais pouvez-vous le vérifier?

Lire maintenant

Évolution du paysage des violations de données

L’ampleur des compromissions de données a atteint des niveaux sans précédent en 2024, avec plus de 1,7 milliard d’individus recevant des notifications de violation. Les organisations ont signalé 4 876 incidents de violation aux autorités réglementaires, représentant une augmentation de 22 % par rapport aux chiffres de 2023. Plus préoccupante encore, la hausse spectaculaire des enregistrements compromis, qui a augmenté de 178 % d’une année sur l’autre, atteignant 4,2 milliards d’enregistrements exposés.

Cette ampleur sans précédent a été largement alimentée par plusieurs “méga-violations”, y compris l’incident des Données Publiques Nationales qui à lui seul a compromis 2,9 milliards d’enregistrements. En comparant ces chiffres à la moyenne historique sur cinq ans, 2024 représente un point d’inflexion significatif, avec un impact des violations croissant de manière exponentielle plutôt que linéaire.

Un changement notable s’est produit dans les schémas de ciblage sectoriel, les services financiers dépassant pour la première fois depuis 2018 le secteur de la santé en tant que secteur le plus violé. Les institutions financières représentaient 27 % des violations majeures, suivies par la santé (23 %), le gouvernement (18 %), le commerce de détail (14 %) et la technologie (12 %). Ce changement reflète la priorisation évolutive des acteurs malveillants, qui ciblent de plus en plus les données financières pour leur potentiel de monétisation immédiate.

Les vecteurs de menace émergents en 2024 comprenaient les vulnérabilités des API, les exploits de mauvaise configuration du cloud, les attaques basées sur l’identité et l’exploitation des vulnérabilités zero-day, avec un record de 90 zero-days découverts et exploités.

Résumé des points clés

  1. Pourquoi la sensibilité des données est-elle plus importante que le nombre d’enregistrements lors d’une violation ?

    La sensibilité des données détermine le potentiel de dommage causé par une violation. Les données sensibles, comme les dossiers médicaux ou les documents financiers, ont un impact plus important sur les individus et les organisations que de grands volumes de données moins critiques.

  2. Qu’est-ce que l’Indice d’Exposition au Risque (REI) utilisé dans le rapport ?

    Le REI est un système de notation pondéré qui mesure la gravité d’une violation en se basant sur sept facteurs, dont la sensibilité des données, l’impact financier, les implications réglementaires et la sophistication de l’attaque. Il offre une vue multidimensionnelle du risque de violation au-delà du simple nombre d’enregistrements.

  3. Qu’est-ce qui a rendu la violation des données publiques nationales si grave ?

    Bien qu’elle ait exposé un record de 2,9 milliards d’enregistrements, sa gravité provenait de la nature sensible des données volées et de l’attaque sophistiquée et non détectée pendant neuf mois. Elle a obtenu le score le plus élevé sur l’Indice d’Exposition au Risque en raison de la combinaison de la sensibilité des données, de l’impact financier et des effets sur la chaîne d’approvisionnement.

  4. Comment le paysage des menaces a-t-il évolué en 2024 ?

    En 2024, les services financiers ont dépassé le secteur de la santé en tant que secteur le plus ciblé. Les attaquants ont de plus en plus exploité les vulnérabilités zero-day, les API, les mauvaises configurations de cloud et les vecteurs basés sur l’identité, avec des attaques basées sur les identifiants initiant près de la moitié des violations majeures.

  5. Que devraient prioriser les organisations pour réduire l’impact des violations ?

    Elles devraient se concentrer sur la protection des données les plus sensibles, renforcer la gestion des risques liés aux tiers et adopter des modèles de sécurité zéro-trust. Les défenses contre les ransomwares devraient soutenir à la fois la continuité opérationnelle et la protection des données.

Comprendre l’indice d’exposition au risque

L’indice d’exposition au risque (REI) fournit une méthodologie standardisée pour évaluer et comparer la gravité et l’impact des violations de données. Bien que des métriques traditionnelles comme le nombre d’enregistrements exposés offrent un aperçu précieux, elles ne capturent pas la nature multidimensionnelle de l’impact des violations. Le REI répond à cette limitation en incorporant sept facteurs clés qui fournissent collectivement une évaluation plus complète de la gravité des violations.

Ces facteurs clés incluent :

  1. Nombre d’enregistrements exposés (Poids : 15 %) : Le nombre brut d’enregistrements individuels compromis sert de base à l’évaluation.
  2. Estimation de l’impact financier (Poids : 20 %) : Calculée à l’aide d’un modèle propriétaire qui prend en compte les coûts directs et indirects.
  3. Classification de la sensibilité des données (Poids : 20 %) : Toutes les données n’ont pas la même valeur ou le même risque. Les données compromises sont classées en niveaux basés sur la sensibilité, allant des informations de contact de base aux informations médicales protégées.
  4. Implications de la conformité réglementaire (Poids : 15 %) : Évalue le paysage réglementaire applicable à la violation, y compris les pénalités potentielles et les exigences de notification.
  5. Implication de ransomware (Poids : 10 %) : Considère si un ransomware était impliqué et la durée de l’impact opérationnel.
  6. Évaluation de l’impact sur la supply chain (Poids : 10 %) : Évalue l’effet de cascade de la violation sur les organisations connectées.
  7. Sophistication du vecteur d’attaque (Poids : 10 %) : Évalue la complexité technique de l’attaque.

Chaque facteur est noté individuellement sur une échelle de 1 à 10, pondéré de manière appropriée, et combiné pour produire un score final REI allant de 1 (impact minimal) à 10 (impact catastrophique).

Données Publiques Nationales : Anatomie de la violation la plus à risque

La violation des Données Publiques Nationales se distingue comme la plus grande violation de données de l’histoire par le volume d’enregistrements exposés. La violation est restée indétectée pendant environ neuf mois avant d’être découverte. Les attaquants ont exploité une vulnérabilité non corrigée dans la passerelle API de l’entreprise, ce qui leur a permis d’extraire progressivement des données via une série de requêtes lentes et discrètes conçues pour échapper aux systèmes de détection.

Après déduplication, environ 1,2 milliard d’individus uniques ont été affectés. Les types de données compromises comprenaient les noms complets, les numéros de sécurité sociale, les adresses domiciliaires, les numéros de téléphone, les adresses e-mail, les informations sur la propriété, les dossiers judiciaires et les données d’inscription des électeurs.

L’impact financier estimé dépasse les 10 milliards de dollars, intégrant les coûts directs de notification, les services de surveillance de crédit, les frais juridiques et les pénalités réglementaires, ainsi que les coûts indirects dus à la perturbation des activités, à la perte de clients et à l’atteinte à la réputation. Le cours de l’action de Données Publiques Nationales a chuté de 42 % la semaine suivant la divulgation de la violation, effaçant 3,8 milliards de dollars de capitalisation boursière.

Cette violation a reçu le score de risque le plus élevé (8,93) de toutes les violations analysées, avec des scores particulièrement élevés pour la Sophistication du vecteur d’attaque (8,4) et l’Impact sur la supply chain (8,5).

Planifiez une démonstration

Change Healthcare : La tempête parfaite de la supply chain

La violation de Change Healthcare représente l’un des incidents de cybersécurité les plus perturbateurs de l’histoire de la santé. L’attaque a conduit à un arrêt complet de l’infrastructure de traitement des réclamations de l’entreprise pendant 26 jours, créant une crise nationale de paiement des soins de santé affectant des milliers de prestataires de soins de santé.

Bien que la perturbation des opérations de santé ait reçu le plus d’attention publique, la composante d’exfiltration de données a affecté 190 millions d’individus dont les données de réclamations de santé ont été volées avant le déploiement du ransomware.

L’impact financier estimé atteint 32,1 milliards de dollars, englobant les coûts directs pour Change Healthcare et UnitedHealth Group (y compris le paiement de rançon de 22 millions de dollars) ainsi que l’impact massif en aval sur l’écosystème de la santé. Des milliers de prestataires de soins de santé ont fait face à des crises de trésorerie pendant la panne, de nombreuses petites pratiques nécessitant des prêts d’urgence pour maintenir leurs opérations.

Cette violation a reçu un score parfait de 10,0 pour l’Impact sur la supply chain, le score le plus élevé possible, reflétant les effets catastrophiques en aval sur des milliers de prestataires de soins de santé à l’échelle nationale.

Principaux enseignements des 11 principales violations

L’analyse des 11 principales violations révèle plusieurs vecteurs d’attaque dominants. Les attaques basées sur les identifiants étaient le vecteur initial dans 5 des 11 violations majeures, démontrant que malgré des contrôles de sécurité avancés, les attaquants exploitent toujours l’élément humain.

Les attaques les plus sophistiquées démontrent plusieurs caractéristiques avancées, y compris des techniques de persistance avancées, l’exploitation de zero-day et des avancées en ingénierie sociale. En revanche, les violations avec des scores de sophistication plus faibles ont tout de même créé des impacts significatifs à travers des vecteurs plus simples, comme la violation d’AT&T résultant d’un seau Amazon S3 mal configuré.

La violation de Change Healthcare a exploité une vulnérabilité seulement 16 jours après la publication du correctif, démontrant la fenêtre de plus en plus réduite dont disposent les organisations pour mettre en œuvre des mises à jour critiques.

Qu’est-ce qui détermine vraiment la gravité d’une violation ?

Le nombre d’enregistrements montre une corrélation positive modérée (r=0,61) avec le score de risque global, confirmant sa pertinence tout en démontrant qu’il est loin d’être le seul facteur important. La relation semble non linéaire, avec un impact marginal décroissant à mesure que le nombre d’enregistrements dépasse 100 millions.

L’impact financier montre la corrélation la plus forte avec le score de risque global (r=0,84), reflétant son rôle à la fois comme conséquence d’autres facteurs et comme mesure directe des dommages organisationnels.

La sensibilité des données montre une forte corrélation avec le score de risque (r=0,78), avec une influence particulièrement élevée dans les violations des services de santé et financiers. L’analyse identifie une hiérarchie de sensibilité des données qui influence constamment l’impact des violations, des informations médicales protégées en haut aux informations de contact de base en bas.

Hiérarchie de sensibilité des données dans l’impact des violations

L’analyse des 11 principales violations de données identifie une hiérarchie claire de sensibilité des données qui influence constamment l’impact des violations :

  1. Informations médicales protégées avec détails de traitement
  2. Documents financiers (déclarations fiscales, vérification des revenus)
  3. Détails complets de carte de paiement avec CVV
  4. Numéros de sécurité sociale
  5. Identifiants d’authentification
  6. Informations de contact et détails personnels de base

Les organisations devraient aligner leurs contrôles de sécurité et leurs capacités de surveillance sur cette hiérarchie, en appliquant les protections les plus strictes aux catégories de données les plus sensibles.

L’analyse multifactorielle de toutes les violations indique que les trois facteurs les plus influents pour déterminer la gravité d’une violation sont :

  1. Sensibilité des données (influence de 24 %)
  2. Impact financier (influence de 22 %)
  3. Conformité réglementaire (influence de 18 %)

Rapport 2024 de Kiteworks sur la sécurité et la conformité des communications de contenu sensible

Le double impact des ransomwares

L’implication des ransomwares montre une corrélation notable mais non dominante avec le score de risque (r=0,47). Cependant, la corrélation se renforce considérablement (r=0,76) lorsqu’on considère uniquement l’impact opérationnel plutôt que le score de risque total, reflétant l’effet principal des ransomwares sur la continuité des activités plutôt que sur la confidentialité des données.

Cela suggère que les organisations devraient développer des stratégies de défense doubles axées à la fois sur la continuité des activités et la protection des données.

Risques liés à la supply chain et aux tiers

Les vulnérabilités des tiers étaient la porte d’entrée pour 64 % des violations majeures, prouvant que votre sécurité n’est aussi forte que votre fournisseur le plus faible. La maturité des programmes de gestion des risques tiers accuse un retard significatif par rapport à d’autres domaines de sécurité, créant une vulnérabilité systématique que les acteurs malveillants exploitent de plus en plus.

Les organisations doivent reconnaître que leur périmètre de sécurité s’étend désormais pour englober l’ensemble de leur supply chain numérique. Une évaluation rigoureuse des fournisseurs, une surveillance continue et des exigences de sécurité validées doivent devenir des pratiques standard plutôt que des cases à cocher de conformité.

Implications stratégiques pour la sécurité

Les conclusions de l’analyse de l’indice d’exposition au risque fournissent des implications stratégiques claires pour les organisations :

  • Prioriser les contrôles de sécurité en fonction de la sensibilité des données plutôt que du volume
  • Mettre en œuvre une architecture zero-trust étant donné le rôle prévalent des attaques basées sur les identifiants
  • Développer des stratégies de minimisation des données pour réduire l’impact potentiel des violations
  • Établir une surveillance avancée pour les risques tiers
  • Créer des plans de réponse aux incidents qui tiennent compte des impacts à l’échelle de l’écosystème
  • Considérer les défenses contre les ransomwares comme des investissements à la fois pour la continuité des activités et la protection des données
  • Intégrer la conformité réglementaire dans les programmes de sécurité plutôt que de la traiter comme une fonction distincte

Alors que les acteurs malveillants continuent de perfectionner leurs techniques, les organisations doivent rester en avance avec une surveillance continue, des contrôles d’accès robustes et des efforts de conformité réglementaire renforcés. En mettant en œuvre ces mesures et en se concentrant sur des modèles de sécurité basés sur la sensibilité des données, les entreprises peuvent réduire leur exposition au risque et mieux protéger leurs données sensibles dans un environnement numérique de plus en plus hostile.

Ressources supplémentaires

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who are confident in how they exchange private data between people, machines, and systems. Get started today.

Schedule a Demo

Lancez-vous.

Il est facile de commencer à garantir la conformité réglementaire et à gérer efficacement les risques avec Kiteworks. Rejoignez les milliers d'organisations qui ont confiance dans la manière dont elles échangent des données privées entre personnes, machines et systèmes. Commencez dès aujourd'hui.

VOIR LA DÉMO

Jetzt loslegen.

Es ist einfach, mit Kiteworks die gesetzliche Vorgaben einzuhalten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sicher sind, wie sie vertrauliche Daten zwischen Personen, Maschinen und Systemen austauschen. Beginnen Sie noch heute.

DEMO ANSCHAUEN

Comienza ahora.

Es fácil comenzar a asegurar el cumplimiento normativo y gestionar eficazmente los riesgos con Kiteworks. Únete a las miles de organizaciones que confían en cómo intercambian datos confidenciales entre personas, máquinas y sistemas. Empieza hoy mismo.

Agenda una Demo

まずは試してみませんか?

Kiteworksを使用すれば、規制コンプライアンスの確保とリスク管理を簡単に始めることができます。人、機械、システム間でのプライベートデータの交換に自信を持つ数千の組織に参加しましょう。今すぐ始めましょう。

デモを予約

Table of Contents

Table of Content
Explore Kiteworks