Qu’est-ce qu’une atteinte à la sécurité ?

Pour beaucoup de gens, les activités les plus élémentaires de leur existence se font désormais en ligne. Du shopping aux opérations de banque en passant par la planification de voyages, les divertissements et les rencontres, les personnes ont de plus en plus recours au monde numérique pour se simplifier la vie, tant publique que privée. Ils font confiance dans le fait que les outils numériques qu’ils emploient vont assurer la sécurité, la confidentialité et la protection de leurs informations et données personnelles, voire de certains de leurs secrets.

Cependant, étant donné que les comptes, applications et systèmes informatiques en ligne stockent désormais de grandes quantités d’informations à caractère personnel et financier, ils sont devenus des cibles de choix pour les atteintes à la sécurité, grâce auxquelles les criminels cherchent à compromettre les systèmes afin d’accéder aux comptes des clients et récolter des données, ouvrant la porte à des fraudes et à d’autres cybercrimes. Pour les entreprises, ces violations peuvent également entraîner des amendes réglementaires, des obligations légales d’indemnisation, des atteintes à la réputation et une perte de confiance de la part des clients.

Une atteinte à la sécurité peut résulter d’un large éventail de menaces et de vulnérabilités en constante évolution : mots de passe faibles, logiciels malveillants, hameçonnage, rançongiciels et ingénierie sociale. Afin de protéger la vie privée et les données sensibles, la mise en place de mesures de sécurité des données est impérative pour les individus et les entreprises, car les informations confidentielles ont une grande valeur aux yeux des criminels. Sur le « dark web », un marché où il est possible d’acheter et de vendre des noms d’utilisateur, des mots de passe, des numéros de carte de crédit et d’autres données financières, ces données peuvent être utilisées à des fins de vol d’identité ou de fraude.

La menace que constituent les atteintes à la sécurité est réelle : selon Enterprise Apps Today, toutes les 39 secondes, une telle violation se produit quelque part dans le monde, avec des dommages causés par les cybercriminels estimés à 6 billions de dollars rien qu’en 2022.

Les atteintes à la sécurité se produisent lorsque les contrôles de sécurité sont enfreints ou contournés d’une façon ou d’une autre ; les entreprises les plus grandes et les plus puissantes au monde sont régulièrement ciblées par les cybercriminels. Les institutions financières, les entreprises de commerce électronique et les agences gouvernementales comptent d’ailleurs au rang des entités les plus couramment ciblées en raison des vastes réserves de données personnelles et financières conservées par leurs sites.

Les individus et les entreprises, grandes et petites, sont exposés aux atteintes à la sécurité et aux cyberattaques. Les pirates et les cybercriminels, certains avec le soutien de puissants intérêts nationaux ou commerciaux, sont incroyablement inventifs et proposent sans cesse de nouvelles façons de passer outre les protections de sécurité existantes. Cela leur donne la possibilité de dérober des informations sensibles ou des données personnelles qu’ils peuvent ensuite potentiellement vendre ou manipuler pour en retirer un avantage compétitif, ou utiliser pour se livrer à de la fraude, à des vols d’identité ou à la diffusion de fausses informations. 

Selon le site d’information secureworld.io, les violations de données les plus importantes de tous les temps sont les suivantes :

• Yahoo (2013-2014), lorsque plus de 3 milliards de comptes d’utilisateurs ont été compromis après que des attaquants aient utilisé des techniques d’hameçonnage pour pénétrer le réseau de Yahoo. Les intrus ont eu accès à des informations sensibles, notamment des noms, des adresses e-mail, des dates de naissance, des numéros de téléphone et des mots de passe cryptés. En plus des amendes d’un montant de 35 millions de dollars imposées par la Securities and Exchange Commission et des règlements d’un montant de 80 millions de dollars suite à un recours collectif fédéral en valeurs mobilières, Yahoo a été contraint de réduire son prix de vente de 350 millions de dollars lors de son rachat par Verizon en 2016. En mars 2017, le FBI a inculpé quatre personnes en lien avec l’attaque, parmi lesquels deux agents du Service fédéral de sécurité russe (FSB).
• Equifax (2017), lorsque les attaquants ont obtenu les informations personnelles de 147 millions de consommateurs aux États-Unis, notamment les noms, les numéros de sécurité sociale, les dates de naissance, les adresses et, dans certains cas, les numéros de permis de conduire. En plus de ces informations personnelles, la violation a également exposé les numéros de carte de crédit d’environ 209 000 clients. Les attaquants ont eu accès au réseau Equifax grâce à une vulnérabilité applicative du site web,  et une segmentation inadéquate du système a permis aux infiltrés de se déplacer facilement latéralement dans le système. La violation a eu de graves répercussions, entraînant une perte de confiance des consommateurs, des enquêtes judiciaires, des poursuites, des amendes réglementaires et des audiences au Congrès. Equifax a également dû verser environ 700 millions de dollars pour indemniser les personnes touchées par la violation de données. En 2020, le ministère américain de la Justice a prononcé des accusations contre quatre pirates informatiques chinois soutenus par l’armée dans le dossier de la cyberattaque d’Equifax.
• Marriott International (2014-2018), lorsque environ 500 millions de dossiers de clients ont été compromis, notamment les noms, adresses, numéros de téléphone, numéros de passeport, adresses e-mail, informations de voyage et, dans certains cas, numéros de carte de paiement. L’attaque a débuté lors de l’acquisition par Marriott de Starwood Hotels and Resorts en 2016 et de l’intégration du système de réservation de Starwood dans celui de Marriott. Le système de Starwood avait été compromis au moins depuis 2014 (probablement à partir d’informations d’identification dérobées aux employés de Starwood), et rapidement tous les établissements du groupe Marriott International se sont retrouvés infectés. L’Information Commissioner’s Office (ICO) britannique a infligé une amende de 23,8 millions de dollars à Marriott. Des responsables américains affirment que la cyberattaque faisait partie d’un effort de collecte de renseignements d’origine chinoise ; Marriott est le principal prestataire d’hébergement hôtelier pour le personnel du gouvernement américain et le personnel militaire.
• T-Mobile (2022-2023), lorsque des attaquants ont manipulé une API pour pirater 37 millions de comptes d’utilisateurs afin d’obtenir les noms de clients, les adresses de facturation, les adresses électroniques, les numéros de téléphone, les numéros de compte et les dates de naissance. L’attaquant, qui a profité d’un accès non autorisé aux systèmes de T-Mobile pendant plus d’un mois avant la découverte de la violation, n’a pas été identifié. 

Il existe plusieurs types d’atteintes à la sécurité, caractérisées par les méthodes employées par l’attaquant pour accéder au système.

• Les attaques par des logiciels malveillants sont une technique courante utilisée par les criminels pour lancer des violations de sécurité. Les logiciels malveillants se propagent souvent par le biais de pièces jointes malveillantes à des e-mails, souvent dans le cadre d’une attaque par hameçonnage qui incite les destinataires à cliquer sur des liens ou à télécharger des pièces jointes contenant des logiciels malveillants ou menant à de fausses pages de connexion. Les logiciels malveillants peuvent également être exécutés par contact avec des sites web infectés ou par des téléchargements de logiciels compromis. Les logiciels malveillants peuvent être conçus pour exécuter diverses fonctions qui conduisent à des violations de données, comme l’enregistrement des frappes au clavier ou la surveillance de l’activité des utilisateurs, ou encore la création de points d’accès dits « porte dérobée » (backdoor en anglais) qui permettent aux attaquants d’accéder aux réseaux. D’autres types de logiciels malveillants peuvent recueillir les identifiants de connexion enregistrés ou voler des données d’authentification sensibles, que les attaquants peuvent ensuite utiliser pour obtenir un accès non autorisé aux comptes et aux systèmes. Les logiciels malveillants peuvent également effectuer une exfiltration, en envoyant des données volées à des serveurs distants contrôlés par les attaquants, ce qui entraîne des fuites de données non autorisées et une exposition potentielle. Les attaques par rançongiciels (ransomware en anglais) peuvent également entraîner des violations de sécurité, car les rançongiciels sont un type de logiciel malveillant qui chiffre les données d’une victime, les rendant inaccessibles. Au cours du processus de chiffrement, l’attaquant accède aux données de la victime et, dans de nombreux cas, menace de publier les données sensibles de la victime ou de les vendre sur le dark web en cas de non-paiement d’une rançon. Cela transforme l’incident de ransomware en une violation de données, qui va exposer les informations compromises à des personnes non autorisées.
• Les attaques par ingénierie sociale reposent sur la manipulation psychologique pour tromper les gens et les amener à révéler des informations sensibles, à effectuer des actions ou à prendre des décisions qui compromettent la sécurité. Dans certains cas, les attaquants peuvent usurper l’identité de personnes de confiance, telles que des collègues, des supérieurs ou des employés du service informatique, pour convaincre les victimes de communiquer des données sensibles ou de révéler des noms d’utilisateur, des mots de passe ou d’autres informations d’authentification. En utilisant ces informations, les attaquants peuvent bénéficier d’un accès non autorisé aux systèmes, aux comptes et aux données sensibles. Les attaques par ingénierie sociale utilisent souvent des tactiques d’hameçonnage pour manipuler les individus afin qu’ils effectuent des actions ou révèlent des données qu’ils n’effectueraient ou ne révéleraient normalement pas.
• Les codes d’exploitation des logiciels (exploits en anglais) tirent parti des vulnérabilités ou des faiblesses des logiciels, des micrologiciels ou des configurations système pour profiter d’un accès non autorisé, manipuler des données ou effectuer des actions malveillantes au sein d’un système informatique ou d’un réseau. Les logiciels obsolètes ou non corrigés sont un point d’entrée courant pour les exploits système, mais ils sont également associés à des attaques par élévation de privilèges ou à des exploits d’exécution de code à distance.

Les pénalités en cas de violation de données peuvent être sérieuses avec d’importantes implications. On peut citer :

• Des pertes financières, en raison de dépenses liées à la réponse aux incidents, de frais juridiques et aux poursuites, d’amendes réglementaires et de l’indemnisation des parties concernées.
• Des atteintes à la réputation, car les violations divulguées publiquement peuvent entraîner une publicité négative et causer des dommages à long terme à une marque.
• Une perte de confiance, car les violations peuvent saper la confiance dans la capacité de l’entreprise à protéger les données, ce qui rend les clients (et les partenaires) hésitants à créer une relation commerciale, ce qui entraîne une perte de fidélité et une attrition de la clientèle.
• Des implications juridiques et réglementaires, car les entreprises peuvent faire face à des actions en justice et à des amendes réglementaires en raison du non-respect des lois et règlements sur la protection des données, tels que le Règlement général sur la protection des données (RGPD) de l’Union européenne et le Health Insurance Portability and Accountability Act (Loi sur la portabilité et la responsabilité en matière d’assurance maladie) (HIPAA) aux États-Unis.

Il est essentiel de reconnaître rapidement les signes d’une atteinte à la sécurité pour minimiser les dommages potentiels et réagir efficacement. Voici quelques indicateurs courants qui peuvent signaler une violation de sécurité en cours. 

• Une activité réseau inhabituelle, comme une augmentation soudaine du trafic réseau, des transferts de données inhabituels ou des pics inattendus de consommation de la bande passante, peut indiquer un accès non autorisé ou une exfiltration de données.
• Un comportement inattendu du système, tel qu’un temps d’arrêt inexpliqué, des performances lentes ou des pannes fréquentes, peut indiquer la présence de logiciels malveillants ou d’activités non autorisées.
• Des activités étranges liées aux comptes, telles que des comptes d’utilisateurs inconnus, des heures de connexion inhabituelles ou plusieurs échecs de connexion sont de potentiels signes de compromission ou de tentatives d’accès non autorisées.
• Des anomalies de données et des accès non autorisés, tels que des données manquantes ou modifiées et des journaux montrant un accès non autorisé à des bases de données critiques ou à des informations sensibles, peuvent suggérer une violation de la sécurité.

La prévention des atteintes à la sécurité nécessite une approche proactive et globale de la cybersécurité, qui passe par l’adoption des bonnes pratiques suivantes.

• Appliquer des politiques strictes en matière de mots de passe. Limitez l’utilisation d’informations faciles à deviner telles que des dates d’anniversaire, des noms ou des mots courants, et imposez l’utilisation de mots de passe combinant des chaînes aléatoires de lettres en majuscule et minuscule, de chiffres et de symboles. Vous pouvez préconiser l’utilisation de phrases de passe, plus longues et plus faciles à retenir, mais plus difficiles à déchiffrer.  
• Mettre en œuvre une authentification multifactorielle (AMF). L’AMF exige que l’utilisateur présente deux facteurs de vérification ou plus pour accéder à une application, une ressource, un compte en ligne ou un autre service. Dans la pratique courante, cela implique souvent de saisir un code d’accès unique reçu par e-mail ou par SMS sur un smartphone ou un navigateur, ou de fournir des données biométriques comme une empreinte digitale ou une reconnaissance faciale.
• Mettre à jour les logiciels et les systèmes régulièrement. Maintenez les systèmes d’exploitation, les applications logicielles et les correctifs de sécurité à jour pour remédier aux vulnérabilités connues. Développez un processus robuste de gestion des correctifs pour appliquer rapidement les mises à jour et les correctifs de sécurité.
• Mettre en œuvre une segmentation du réseau. Diviser un grand réseau en segments plus petits et isolés peut améliorer la sécurité et réduire l’impact potentiel des violations de sécurité en créant des zones ou des sous-réseaux distincts avec un accès contrôlé. Cette pratique permet d’isoler les ressources critiques, de réduire la surface d’attaque et de limiter les mouvements latéraux au sein du réseau pour mieux contenir les violations.
• Utiliser le chiffrement et la protection des données. Chiffrez les données sensibles en transit et au repos pour vous protéger contre les accès non autorisés. L’application de politiques de protection des données telles que des contrôles d’accès stricts et des principes de moindre privilège réduit le risque d’accès non autorisé aux données.
• API d’inventaire et scripts tiers. Découvrez de façon dynamique les points de terminaison des API et les intégrations tierces pour vous assurer qu’ils sont pris en compte dans les processus de gestion des risques et protégés par des contrôles de sécurité appropriés. 

• Reconnaître les tentatives d’hameçonnage. Assurez-vous que les employés apprennent à reconnaître les e-mails d’hameçonnage et les liens malveillants, ce qui réduit la probabilité de se faire avoir par des escroqueries par hameçonnage, qui peuvent conduire à des violations de données.
• Apprendre l’intérêt des mots de passe forts. Enseignez aux employés l’importance d’utiliser des mots de passe forts et d’avoir des pratiques saines en matière de gestion des mots de passe. 
• Signaler les activités suspectes. Enseignez aux employés à signaler rapidement les activités suspectes ou les incidents de sécurité potentiels, pour permettre une réponse et une atténuation plus rapides. Des formations régulières tiennent les employés informés au sujet des risques émergents et de la façon de les reconnaître.

• Évaluer régulièrement la posture de sécurité de votre entreprise. Utilisez les tests d’intrusion, l’analyse des vulnérabilités et les audits de sécurité pour identifier et corriger les faiblesses de vos systèmes, applications et réseaux avant que les attaquants ne puissent les exploiter. Les évaluations des vulnérabilités contribuent également à identifier les erreurs de configuration qui pourraient entraîner des atteintes à la sécurité si elles ne sont pas corrigées.

• Élaborer un plan de réponse aux incidents. Cela peut jouer un rôle important dans l’atténuation des atteintes à la sécurité en fournissant une approche structurée et proactive pour identifier et réagir aux incidents de cybersécurité potentiels.
• Identifier les différents acteurs et leurs rôles. Veillez à identifier les différentes parties prenantes et à déterminer leurs rôles et leurs responsabilités, et à développer une chaîne de commandement claire pour signaler et faire remonter les incidents. Élaborez des procédures détaillées étape par étape pour contenir et atténuer les violations, et testez régulièrement le plan pour identifier les faiblesses et améliorer les réponses.
• Élaborer des stratégies de continuité des activités et de reprise après sinistre (BCDR). Les plans BCDR aident à assurer la continuité des opérations commerciales critiques face aux perturbations, telles que les atteintes à la sécurité. Un élément essentiel des plans BCDR repose sur la sauvegarde régulière des données pour s’assurer que les données puissent être restaurées à un état antérieur non corrompu en cas de violation de données ou de corruption de données. Tous les plans BCDR doivent être régulièrement testés par le biais d’exercices visant à confirmer leur efficacité, et permettant aux entreprises d’identifier les faiblesses et d’affiner leurs stratégies de réponse.

L’intelligence artificielle offre de puissants outils et capacités novateurs qui peuvent être exploités pour détecter et prévenir les failles de sécurité. En particulier, la défense contre les robots alimentée par l’IA peut maintenir la résilience, quelle que soit la façon dont les attaquants tentent de contourner les défenses grâce à une collecte télémétrique durable, à une analyse comportementale et à des stratégies d’atténuation changeantes. Les algorithmes de l’IA détectent les anomalies indiquant une potentielle activité de violation, telles que des utilisateurs accédant à des données sensibles à des moments inhabituels ou à partir d’endroits inconnus, ainsi que les tentatives d’usurpation de signaux et d’utilisation de données compromises provenant du dark web.

Ces systèmes peuvent être dirigés pour bloquer ou signaler automatiquement les activités suspectes, et peuvent automatiser certaines composantes des plans de réponse aux incidents, tels que l’exécution d’actions de réponse prédéfinies ou l’isolement des systèmes compromis pour aider à minimiser la propagation des violations. Étant donné que les systèmes de sécurité basés sur l’IA apprennent à partir des données nouvelles et s’adaptent à l’évolution des menaces, leur précision pour détecter les violations s’améliore au fil du temps et évolue pour qu’ils restent pertinents dans les environnements où les menaces sont dynamiques.

Les technologies de l’IA peuvent également analyser de grands volumes de données et détecter des tendances anormales en temps réel, permettant à ces systèmes de réagir plus rapidement, avec une identification des menaces plus précise que les programmes de détection des menaces manuels ou basés sur des règles.

Bien que les solutions de sécurité basées sur l’IA offrent des avantages importants pour la détection et la prévention des menaces, elles fonctionnent mieux associées à une expertise humaine pour valider les alertes et interpréter les données ou les entrées compliquées. Les modèles de sécurité de l’IA peuvent produire des faux positifs et des faux négatifs, ce qui nécessite une vigilance reposant sur la supervision et le jugement humain, en particulier lorsqu’il s’agit de répondre à des menaces complexes et nouvelles.

La Federal Trade Commission (FTC) fournit des conseils sur les mesures de réponse aux incidents que les entreprises doivent envisager lorsqu’elles sont confrontées à une violation de la sécurité. Ces mesures sont conçues pour aider les entreprises à répondre efficacement aux incidents de sécurité et à les gérer. Une synthèse des conseils de la FTC pour remédier à une violation de sécurité comprend les mesures suivantes :

• Sécurisez vos opérations. Agissez rapidement pour sécuriser vos systèmes et mobilisez immédiatement votre équipe de réponse aux violations pour éviter toute perte de données supplémentaire. Cela peut impliquer d’isoler les systèmes affectés, de désactiver les comptes compromis et de prendre d’autres mesures pour empêcher tout autre accès non autorisé.
• Corrigez les vulnérabilités. Travaillez avec vos experts en analyse pour identifier et corriger les vulnérabilités qui ont permis à la violation de se produire. Corrigez et mettez à jour les logiciels, les systèmes et les configurations pour éviter de futurs incidents. Analysez qui a actuellement accès au réseau (y compris les fournisseurs de services), déterminez si cet accès est nécessaire et restreignez l’accès si ce n’est pas le cas.
• Informez les parties concernées. Contactez les forces de l’ordre pour signaler la situation et le risque potentiel de vol d’identité. Selon la nature de la violation, informez les personnes, les clients ou les clients concernés par l’incident. Fournissez des informations claires, précises et transparentes aux personnes concernées sur ce qui s’est passé, quelles données ont été exposées et quelles mesures elles doivent prendre pour se protéger.