Pour les professionnels de la sécurité des données et, plus largement, tous les cadres dirigeants ayant des comptes à rendre à des actionnaires, 2014 s’est terminée dans une ambiance fort peu sereine, pour ne pas dire empreinte de drame.
En décembre, les attaques de Sony Pictures par la Corée du Nord ont capté l’attention de tout le monde, pas tant sur l’opportunité pour Sony de diffuser ou non "L’interview" que sur l’extrême vulnérabilité de notre société à ce type d’actes criminels. La vague d’attaques informatiques à laquelle les institutions, les entreprises et les media français font actuellement face et les précédentes opérations de vols de données le montrent, il est plus que jamais urgent pour les entreprises françaises de sécuriser le patrimoine que constituent leurs données.
761 failles de sécurité en 2014
En 2014, l’Identity Theft Resource Center a recensé 761 failles de sécurité de données qui ont impacté plus de 83 millions d’enregistrements dans toutes les régions et tous les secteurs d’activité, la distribution B2B et B2C totalisant à elle seule 79,2 % des violations enregistrées. La majorité de ces brèches ont été causées par des vers ou des virus informatiques introduits via Internet et délibérément conçus pour identifier et récupérer des informations sensibles – notamment des numéros de cartes de crédit, de comptes bancaires et des informations de sécurité sociale – utilisées par les criminels pour semer le chaos et causer aux établissements commerciaux et financiers d’importantes pertes financières. D’après une étude réalisée en 2014 par le Ponemon Institute :
- Aux États-Unis en 2014, le coût moyen de la cybercriminalité a été de 12,7 millions de dollars par entreprise, les entreprises américaines ayant en moyenne fait l’objet de 122 attaques réussies dans l’année.
- Globalement pour les organisations étudiées, le coût moyen annualisé était de 7,6 millions de dollars, la fourchette allant de 0,5 million à 61 millions. Il est intéressant de noter que les petites organisations ont eu à supporter un coût par tête plus élevé que les grandes (1 601 $ contre 437).
- Les coûts induits sont également plus élevés dans certains secteurs que dans d’autres. C’est le secteur de l’énergie et des utilities qui subit les attaques les plus coûteuses (13,18 millions de dollars), suivi de près par le secteur des services financiers (12,7 millions). Le secteur de la santé est celui qui encourt les dépenses les moins élevées (1,38 million).
2015, une année à risque
Malgré toute l’attention des médias sur les événements déplorables de l’année dernière, 2015 ne s’annonce pas vraiment sous de meilleurs auspices. Le 5 janvier, CNBC annonçait que Morgan Stanley avait fait l’objet d’une violation de données de la part d’un employé licencié qui a volé les données de comptes de centaines de milliers de clients de son département gestion de fortune. Pour environ 900 de ces clients, les informations volées ont été mises en ligne et donc exposées pendant une courte période. Avec toute la valeur que les cybercriminels peuvent espérer tirer de ce type de données, les entreprises de tous les secteurs doivent s’attendre à un rude combat, sachant que ces criminels se montrent de plus en plus créatifs pour mettre la main sur des informations sensibles et en tirer des gains financiers. D’après une étude de Forrester, les 3 premières causes de violation de données sont :
- la mauvaise utilisation involontaire des données par le personnel (36%)
- la perte/le vol d’actifs de l’entreprise (32%)
- le phishing (30%)
Sécurité informatique : vers une augmentation des investissements
Compte tenu de la croissance des volumes de données alimentée par le mobile, les médias sociaux, le cloud et les paiements électroniques, la guerre contre les violations de données va s’amplifier et s’aggraver, pour les petites entreprises comme pour les grandes. En conséquence, Gartner prévoit qu’en 2015, les investissements dans les solutions de sécurité de l’information vont augmenter de 8,2% par rapport à 2014 et atteindre 76,9 milliards de dollars dans le monde. De plus, d’ici 2018, plus de la moitié des organisations auront recours à des sociétés de services de sécurité spécialisées dans la protection des données, la gestion des risques de sécurité et la gestion des infrastructure de sécurité pour renforcer leur sécurité.
Comme dans toute guerre, il est primordial de savoir qui est l’ennemi et ce que l’on cherche à défendre. Dans la guerre contre la violation de données, avant de chercher comment se défendre efficacement contre les attaques, la première étape est de savoir où se trouvent les données sensibles. Parmi les firmes étudiées par le Ponemon Institute, seules 18% déclarent savoir où se trouvent leurs données structurées sensibles, les autres n’en étant pas sûres. 66% reconnaissent qu’elles ne seraient pas forcément en mesure de détecter une attaque dont elles feraient l’objet. Pire encore, 47% pensent ne pas avoir de visibilité fiable sur les utilisateurs qui accèdent aux informations à caractère sensibles ou confidentiel. 48% admettent avoir subi une forme ou une autre de violation de données au cours des 12 derniers mois.
Du directeur de la sécurité de l’information aux analystes de la sécurité, les responsabilités des professionnels de la sécurité vont croissant et deviennent chaque jour plus complexes face à des criminels utilisant des méthodes et des techniques de plus en plus sophistiquées pour mettre la main sur un des actifs les plus précieux de la plupart des entreprises, à savoir leurs données. Si votre entreprise prévoit d’investir dans une nouvelle solution de sécurité de l’information, assurez-vous que celle que vous choisirez vous permette de savoir où se trouvent vos données sensibles. C’est le point de départ et la condition indispensable pour mettre en place une stratégie de sécurité qui défendra aussi efficacement votre périmètre que vos données sensibles à la source. Êtes-vous prêt à passer à l’action ?