Les données personnelles sont la première cible des attaques, selon le rapport Verizon DBIR 2022
Le Verizon Data Breach Investigations Report 2022 (DBIR) a révélé que, contrairement à ce que beaucoup affirment, 75 % des violations proviennent d’attaquants externes. Les informations personnelles identifiables (PII) et les identifiants sont les plus ciblés, et sont souvent exploités lorsque les organisations envoient, partagent et reçoivent du contenu confidentiel.
Le rapport conclut également que, dans la plupart des attaques, les données personnelles (souvent soumises à des règles de conformité) étaient la cible des malfaiteurs. Et dans ces cas-là, le facteur humain a contribué à leur réussite : 82 % des cas recensés dans le rapport sont des vols d’identifiants, phishings, ou simples erreurs d’utilisation.
La réflexion qui suit s’intéresse aux liens entre ces éléments et les échanges de données sensibles.
Synthèse du Rapport sur les Incidents et les Violations de Données (DBIR)
L’année dernière a été exceptionnelle en termes de cyberattaques. 2022 a été marquée par des histoires très médiatisées, aussi bien du côté des victimes (ceux qui ont été attaqués) que des malfaiteurs (ceux qui ont attaqué). Beaucoup de secteurs ont été touchés, et notamment la Finance, la Santé, l’Énergie et les Services publics, les gouvernements, les usines et les Sciences de la vie. La supply chain reste la cible préférée des attaquants, et pour cause : le succès des compromissions est multiplié par 10, 100, voire 1 000, lorsqu’ils ont accès non seulement au réseau de l’organisation piratée, mais aussi à celui de ses partenaires en aval.
Selon l’étude de Verizon, les identifiants volés, le phishing, l’exploitation des vulnérabilités et les botnets sont les quatre vecteurs des attaques. Aucune organisation ne peut y échapper, et toute stratégie de gestion des risques de sécurité devrait en tenir compte. Les identifiants volés représentent 50 % des violations, suivis par le phishing (un peu moins de 20 %), l’exploitation des vulnérabilités (moins de 10 %) et les botnets (moins de 1 %).
Les vecteurs d’attaque par ransomware sont un réel problème pour Verizon en 2022, avec une tendance à la hausse de près de 13 % : une augmentation équivalente à celle des cinq dernières années cumulées (pour une augmentation totale de 25 % actuellement). Les malwares sont devenus la base des DBIR de Verizon depuis leur apparition, représentant plus de 30 % des violations de données en 2022.
En ce qui concerne les attaques de type ransomware, le vol d’identifiants et les malwares ont été les deux problèmes majeurs. En effet, il suffit aux cybercriminels de désactiver les fonctions vitales de l’entreprise en chiffrant les données associées, plutôt que d’avoir à rechercher des types de données spécifiques ou des données particulières. Quant aux applications ciblées par les ransomwares, 40 % sont des logiciels de partage de bureau, et 35 % des emails.
Sans surprise, trois quarts des violations externes ont eu lieu suite à une exploitation d’un maillon de la supply chain. À noter que la supply chain a été impliquée dans 62 % des incidents. Enfin, alors que les cybercriminels sont souvent motivés par l’argent, les États-voyous ont souvent le même objectif : ils ne demandent pas de rançon mais se contentent de garder les accès.
Les cibles des cybercriminels : serveurs de messagerie, applications web et tous types de contenu
Les données les plus ciblées par les cybercriminels et les États-voyous sont les identifiants et les données personnelles. Comme les identifiants peuvent être utilisés pour se faire passer pour des utilisateurs légitimes sur un système ou une application, ils leur permettent d’être furtifs ; ils ne sont pas détectés jusqu’à ce qu’ils attaquent. Le vol d’identifiants peut avoir un effet long terme, car ils restent sur le darknet un certain temps. Autrement dit, cela revient à « décrocher le jackpot ».
Les PII sont la cible des cybercriminels externes et des employés malintentionnés. 22 % des informations médicales protégées (PHI) ont été volées par des employés. Cette statistique est cohérente avec le fait que la Santé soit le secteur le plus touché par des violations de données.
Temps moyen de détection des failles et des violations de données
Le DBIR a également étudié la durée moyenne d’une attaque avant l’exploitation réussie des données. Ils ont découvert avec surprise que la plupart des intrusions comprenaient seulement quelques étapes. Il semble que les pirates privilégient les méthodes qu’ils maîtrisent le mieux : phishing, téléchargement et ransomware. Ils ont rarement recours à plus de cinq techniques d’intrusion. En fait, Verizon a constaté que plus l’attaquant entreprenait d’actions, plus le défenseur avait de chances de réagir, de détecter et de bloquer une violation avant que les données ne soient recueillies. Notons quand même que, plus il y a de failles potentielles dans la sécurité, plus le risque est élevé. La gestion des risques cybernétiques doit donc être en tête des priorités des entreprises, afin de préserver la confidentialité des données et empêcher leur exploitation.
Applications web et serveurs de messagerie
Les applications web sont une cible tout indiquée pour les cybercriminels, et sont à l’origine d’environ 70 % des incidents. 80 % des attaques proviennent d’un vol d’identifiants personnels, et 69 % concernent le vol de PII, dont 15 % des PHI.
Les serveurs de messagerie sont attaqués, quant à eux, dans environ 20 % des cas. 80 % de ces attaques sont dues à des vols d’identifiants et 30 % à un autre moyen d’exploitation (contre 3 % l’année dernière).
On pourrait croire que ces attaques sont principalement menées par des criminels audacieux qui parcourent le web à la recherche d’identifiants faibles. Or, les États-voyous ont aussi recours à cette même approche, peu coûteuse et très rentable, puisque 20 % des violations de données sont liées à de l’espionnage.
Erreurs de configuration : les données personnelles en ligne de mire
Environ 10 % des violations de données proviennent de mauvaises pratiques des collaborateurs, faisant d’eux les premiers fautifs. Et les données stockées en Cloud sont particulièrement exposées. Cela n’a rien de surprenant : les services Cloud sont souvent déployés sans contrôle d’accès adéquats. Un autre facteur de risque est l’envoi par erreur de documents confidentiels, via des emails adressés au mauvais destinataire. Les PII des clients sont les plus touchées par ces incidents.
En réalité, il est difficile de savoir si une attaque a conduit à une violation de données. Dans 90 % des cas, il est impossible de vérifier à quel moment les données ont été piratées. La Santé est le secteur le plus touché, et selon les conclusions du DBIR, les cyberattaques sont plus détectables que dans d’autres secteurs, car les règles de conformité liées au secret médical y sont plus strictes.
Importance de la gouvernance et de la sécurité dans la prévention des violations de données
La gestion des risques tiers devrait être au cœur des préoccupations actuelles des entreprises. Le DBIR révèle que les tiers (les partenaires) sont les premiers leviers d’action. Il est donc essentiel d’établir un système de gouvernance adapté à la sécurité et à la conformité. Les données sensibles telles que les PII, les PHI, les données bancaires et les informations confidentielles des entreprises doivent faire l’objet d’une attention particulière et d’un système de gestion efficace.
Dans cette optique, les organisations doivent pouvoir déterminer qui a accès aux informations, qui peut les consulter et les modifier, à qui elles peuvent être envoyées, par quels outils et via quels appareils. Sans quoi elles s’exposent à d’importants risques tiers, avec des conséquences sur l’ensemble de la supply chain. Dans le cas d’une attaque touchant la supply chain, le nombre de victimes secondaires peut rapidement augmenter, jusqu’à toucher des centaines ou des milliers d’organisations et de personnes.
Grâce à la plateforme Kiteworks, les entreprises disposent d’un réseau dédié à leurs contenus privés qui assure à la fois gouvernance, conformité et protection des données. La plateforme unifie, suit, contrôle et sécurise les partages des contenus sensibles, à l’intérieur de l’organisation mais aussi avec l’extérieur. Le règles de gouvernance permettent de gérer les autorisations d’accès à ces informations, à leur lecture, à leur modification, à leur envoi, etc. Avec un modèle de sécurité Zero trust, Kiteworks utilise des clés de chiffrement pour tout échange de contenu privé, quel que soit le canal de communication utilisé (email, partage de fichiers, transfert de fichiers géré, formulaires web ou interfaces de programmation d’applications (API)).
Ressources complémentaires