Tout savoir sur les fuites de données

Une donnée n’est rien d’autre qu’une information ; elle peut concerner une entreprise, ses salariés, ses clients, ses partenaires ou ses fournisseurs. Devenues une source de richesse à part entière, les données sont aujourd’hui incontournables, même pour les plus petites entreprises. Aussi précieuses que convoitées, elles font l’objet d’attaques, appelées data breach ou data leaks en anglais. En français, on parle de vol de données, ou de fuite. Lorsqu’une donnée est volée, elle est alors considérée comme « compromise ».

Toutes les données n’ont pas la même valeur. Certaines typologies sont plus convoitées que d’autres, comme :

• les adresses emails et les mots de passe des collaborateurs, des fournisseurs et sous-traitants ou des clients ;
• les données financières, notamment les numéros de cartes bancaires ;
• les données de santé (numéros de sécurité sociale, bilans médicaux, diagnostics) ;
• les données personnelles (adresses physiques, numéros de téléphone…) ;
• les brevets et propriétés intellectuelles ;
• les documents internes (présentations commerciales, comptes rendus de réunions…).

En fonction des entreprises et du traitement de données qu’elles opèrent, les fuites de données seront plus ou moins critiques.

Une fuite de données est une exposition non désirée, publique ou privée, subie par une entreprise ou un particulier. Selon l’étude annuelle d’IBM sur les coûts des vols de données*, les causes principales des data leaks sont les suivantes :

• les cyberattaques = 48% ;
• l’erreur humaine = 27% ;
• l’erreur système (IT et processus internes) = 25%.

Les fuites d’informations peuvent être fortuites ou préméditées. Les criminels ont alors à leur main un ensemble de techniques pour dérober des informations :

• les infections par malware : il s’agit d’un logiciel malveillant (ver informatique, virus, cheval de Troie…) ;
• le phishing  ou « tentative d’hameçonnage » : les pirates attirent leurs victimes vers un site écran pour leur soutirer des données sensibles ;
• l’injection SQL** : un morceau de code est injecté dans un système informatique pour contourner les barrières de sécurité ;
• l’« inside job » : la fuite provient d’un des collaborateurs de l’entreprise.

En France, le coût annuel des fuites de données s’élève à 3,54 millions d’euros* : c’est à peine plus que la moyenne mondiale, qui se situe à 3,4 millions d’euros.

Le coût moyen par donnée volée, toujours en France, est de 150 euros. Ce chiffre descend à 130 euros au niveau mondial.

Pour un attaquant, le vol de données permet :

• de financiariser une attaque : en vendant les données collectées ;
• de compléter une attaque : le vol de données permet d’acquérir ou d’amasser de la connaissance sur une cible précise, avant de lancer ensuite une attaque de plus grande importance.

Si de très nombreuses bases de données sont proposées ou téléchargeables gratuitement sur internet, reste que les criminels vont chercher à vendre les informations volées au meilleur prix. Ce prix peut varier grandement en fonction de plusieurs facteurs :

• la rareté de l’information,
• la sensibilité des documents,
• l’exploitation reproductible dans de nombreuses fraudes,
• la pérennité de l’information,
• la facilité de la fraude.

Les données bancaires, exploitables immédiatement, sont particulièrement prisées : celles d’une carte bleue Visa se vendent avec un facteur 5 : pour un compte en banque contenant 1 000 euros, la carte bancaire associée coûtera environ 200 euros.

Les données personnelles se vendent également : ainsi, un dossier complet avec carte d’identité, RIB, fiche de paie, avis d’imposition vaut environ 40€, et permettra de réaliser, par exemple, des faux crédits simplement.

Les données plus simples, plus abondantes et donc moins rares, sont vendues à bas prix : il faut alors compter 10€ pour 1 000 enregistrements comprenant le nom, le prénom, la date de naissance, l’adresse postale ou encore le numéro de téléphone et l’adresse email d’un utilisateur.

Ces chiffres peuvent évidemment évoluer, la loi du marché primant : les prix peuvent varier grandement, en fonction de la rareté de l’information et de l’offre et la demande.

Différentes plateformes permettent d’acheter ce type de données. Comme dit précédemment, certaines sont en libre accès, sur internet, et accessibles par de simples requêtes sur un moteur de recherche. Certaines données sont en vente sur des forums, nécessitant une inscription préalable : certains forums, plus exclusifs, requièrent de montrer patte blanche : les membres doivent être cooptés, partager leurs connaissances ou montrer un certain niveau technique. Certaines données sont revendues sur des sites spécialisés, des places de marché, similaires à des sites commerçants traditionnels, sur Tor ou sur internet.

Toutes régions du monde confondues, il faut en moyenne 197 jours à une entreprise pour découvrir que des données ont été compromises. Une fois identifiée, le temps moyen de remédiation d’une data breach s’élève à 69 jours*.

Les facteurs réduisant les impacts d’une fuite de données sont les suivants :

• l’implication du comité de direction sur les questions de cybersécurité ;
• la sensibilisation des employés ;
• la mise en place d’une classification des données ;
• l’usage d’un logiciel de DLP*** (logiciel de protection des données informatiques) ;
• la présence (en interne ou en externe) d’une équipe de réponse aux incidents (en cas de data breach).

Le partage d’informations sur les menaces demeure également primordial.

Notes :

*Source : 2018 Cost of a Data Breach Study : Global Overview, sponsored by IBM Security. Independently conductedby Ponemon Institute LLC. 

**Structured Query Language (langage de requête structurée)

***Data lost protection