12 juin 2019
Une donnée n’est rien d’autre qu’une information ; elle peut concerner une entreprise, ses salariés, ses clients, ses partenaires ou ses fournisseurs. Devenues une source de richesse à part entière, les données sont aujourd’hui incontournables, même pour les plus petites entreprises. Aussi précieuses que convoitées, elles font l’objet d’attaques, appelées data breach ou data leaks en anglais. En français, on parle de vol de données, ou de fuite. Lorsqu’une donnée est volée, elle est alors considérée comme « compromise ».
Toutes les données n’ont pas la même valeur. Certaines typologies sont plus convoitées que d’autres, comme :
En fonction des entreprises et du traitement de données qu’elles opèrent, les fuites de données seront plus ou moins critiques.
Une fuite de données est une exposition non désirée, publique ou privée, subie par une entreprise ou un particulier. Selon l’étude annuelle d’IBM sur les coûts des vols de données*, les causes principales des data leaks sont les suivantes :
Les fuites d’informations peuvent être fortuites ou préméditées. Les criminels ont alors à leur main un ensemble de techniques pour dérober des informations :
En France, le coût annuel des fuites de données s’élève à 3,54 millions d’euros* : c’est à peine plus que la moyenne mondiale, qui se situe à 3,4 millions d’euros.
Le coût moyen par donnée volée, toujours en France, est de 150 euros. Ce chiffre descend à 130 euros au niveau mondial.
Pour un attaquant, le vol de données permet :
Si de très nombreuses bases de données sont proposées ou téléchargeables gratuitement sur internet, reste que les criminels vont chercher à vendre les informations volées au meilleur prix. Ce prix peut varier grandement en fonction de plusieurs facteurs :
Les données bancaires, exploitables immédiatement, sont particulièrement prisées : celles d’une carte bleue Visa se vendent avec un facteur 5 : pour un compte en banque contenant 1 000 euros, la carte bancaire associée coûtera environ 200 euros.
Les données personnelles se vendent également : ainsi, un dossier complet avec carte d’identité, RIB, fiche de paie, avis d’imposition vaut environ 40€, et permettra de réaliser, par exemple, des faux crédits simplement.
Les données plus simples, plus abondantes et donc moins rares, sont vendues à bas prix : il faut alors compter 10€ pour 1 000 enregistrements comprenant le nom, le prénom, la date de naissance, l’adresse postale ou encore le numéro de téléphone et l’adresse email d’un utilisateur.
Ces chiffres peuvent évidemment évoluer, la loi du marché primant : les prix peuvent varier grandement, en fonction de la rareté de l’information et de l’offre et la demande.
Différentes plateformes permettent d’acheter ce type de données. Comme dit précédemment, certaines sont en libre accès, sur internet, et accessibles par de simples requêtes sur un moteur de recherche. Certaines données sont en vente sur des forums, nécessitant une inscription préalable : certains forums, plus exclusifs, requièrent de montrer patte blanche : les membres doivent être cooptés, partager leurs connaissances ou montrer un certain niveau technique. Certaines données sont revendues sur des sites spécialisés, des places de marché, similaires à des sites commerçants traditionnels, sur Tor ou sur internet.
Toutes régions du monde confondues, il faut en moyenne 197 jours à une entreprise pour découvrir que des données ont été compromises. Une fois identifiée, le temps moyen de remédiation d’une data breach s’élève à 69 jours*.
Les facteurs réduisant les impacts d’une fuite de données sont les suivants :
Le partage d’informations sur les menaces demeure également primordial.
Notes :
*Source : 2018 Cost of a Data Breach Study : Global Overview, sponsored by IBM Security. Independently conductedby Ponemon Institute LLC.
**Structured Query Language (langage de requête structurée)
***Data lost protection