Plus de 4,5 milliards de dossiers ont fait l’objet d’une violation de données au cours du premier semestre de cette année, selon un rapport Breach Level Index de Gemalto publié cette semaine. C’est le nombre le plus élevé de failles de sécurité sur une période de six mois, mais un tel plongeon vertigineux révèle une tendance encore plus inquiétante.
Gemalto, qui vend des produits d’authentification et de stockage de données, produit, tou sles six mois, une analyse concernant les violations signalées sur chaque période. Dans le rapport, le nombre total de dossiers violés, durant le premier semestre de cette année (1H), équivaut à 291 violations de dossiers par seconde, en moyenne.
Le nombre de dossiers-par-violation augmente
L’augmentation générale du volume de dossiers perdus est assez alarmante (le chiffre pour le premier semestre de 2018 est en hausse de 1,751% par rapport à celui du premier semestre de 2015), mais c’est le nombre moyen de dossiers par incident, liée à une violation de données, qui fait peur. Il se développe, en effet, très rapidement !
2015 : 245,9 millions de données pour 999 incidents, soit 276.936 dossiers par incident.
2016 : 554,5 millions de dossiers sur 974 incidents, soit 569 255 dossiers par incident.
2017 : 2,6 milliards de dossiers sur 1765 incidents, soit 1,47 million de dossiers par incident.
2018 : 4,5 milliards de dossiers sur 945 violations, soit 4,8 millions de dossiers par incident.
La répartition de ces dossiers compromis par violation n’est pas égale, bien sûr. Il y eu des problèmes plus importants début 2018.
Gemalto dispose d’un système de notation du risque, pour les entreprises victimes de violations de données, avec 9 ou 10 d’entre elles considérées comme “catastrophiques”. Il y a eu quatre violations dans cette catégorie au premier semestre 2017 : Facebook, Aahaar, Exactis et Under Armour.
La violation par suppression, au niveau des réseaux sociaux, subie par Facebook, dans laquelle la plupart de ses 2,2 milliards d’utilisateurs auraient pu perdre leurs données personnelles, a reçu la note de 10, tout comme Aadhaar, le système d’identité des citoyens soutenu par le gouvernement indien. Il a vu ses 1,2 milliard de dossiers de citoyens accessibles via un service anonyme, lui donnant ainsi accès à des informations telles que les noms, adresses, photos, numéros de téléphone et emails.
Des personnes externes malveillantes
Under Armour a été victime d’un hacker malveillant et a perdu jusqu’à 150 millions de comptes. Dans ce cas et dans les autres violations, des personnes externes malveillantes étaient responsables. Il n’est donc pas surprenant que ces dernières soient arrivées en tête de liste des sources de violations, représentant 56% des incidents signalés et quatre violations de données sur cinq. En tant que source de violation de la sécurité des données, les pertes accidentelles ont quitté la première place, représentant 34% des pertes mais seulement un dossier affecté sur cinq (19%).
La perte accidentelle était cependant responsable d’une autre violation de données catastrophique survenue au premier semestre 2018. Le courtier en données Floridian Exactis a laissé 340 millions de dossiers, concernant des citoyens et des entreprises américaines, sur un serveur Amazon S3. Chaque dossier contenait des informations sur plus de 400 variables, notamment s’ils avaient des animaux domestiques, quelle était leur religion et s’ils fumaient.
Le nombre impressionnant de violations de données enregistrées dans certains des incidents les plus importants, peut fausser considérablement les résultats d’une période à l’autre. Par exemple, l’année dernière, les pertes accidentelles occupaient la première place, car une poignée d’entreprises n’avaient pas configuré leur logiciel correctement et avaient mis en danger des dossiers non chiffrés en ligne.
Les pertes accidentelles
Le nombre d’incidents par perte accidentelle était faible cette année-là, ne représentant que 18% des incidents, mais les entreprises qui se sont ratées ont exposé, à elles seules, des milliards de dossiers en ligne (72% du total sur le premier semestre 2017). Il suffit de quelques administrateurs système ou développeurs mal préparés pour changer le paysage des violations de données.
La faille du premier semestre 2017 concernant River City a, à elle seule, propulsé les violations “nuisibles” au premier rang, par type de violation de données, avec plus de 1,5 milliard de dossiers compromis, mais ce type de compromission représentait, cette fois-ci, moins de 1% des dossiers avec violation (1,69 million).
La performance du secteur
Quelques incidents par violation de données peuvent également modifier les performances de secteurs verticaux entiers. Sur une base sectorielle, les réseaux sociaux sont arrivés en tête de liste avec 2,6 milliards de dossiers (56%) au premier semestre 2015, principalement grâce au SNAFU (“Situation Normal: All Fucked Up“) de Facebook concernant les suppressions de données personnelles. Le gouvernement a suivi avec 27% des dossiers perdus.
En ce qui concerne le nombre d’incidents par violation, cependant, le secteur de la santé gagnent durablement du terrain. Le premier semestre 2018 n’a pas fait exception, avec 256 incidents dans ce secteur, dépassant de loin tous les autres. Cela était intéressant, car le nombre de dossiers violés dans ce secteur représentait moins de 1% du total, indiquant ainsi qu’au premier semestre 2018, le nombre de dossiers par violation était relativement faible.
Revenons au premier semestre 2015, quand Anthem, une assurance maladie, a perdu près de 80 millions de dossiers client. Le secteur de la santé représentait 34% du nombre total de dossiers violés, ce qui leur a permis de se classer au premier rang.
Qu’est-ce que cela nous dit, mis à part le fait que beaucoup de dossiers ont été compromis ? Cela nous indique que les violations deviennent de plus en plus grandes, signifiant ainsi que les quelques entreprises qui seront touchées par des méga-violations au cours d’une période donnée influenceront les résultats.
Toute grande entreprise disposant de données sensibles, à savoir toutes, est une proie privilégiée pour les cybercriminels et personne ne devrait rester passif. L’ère de la méga-violation est bel et bien ouverte !
Billet inspiré de 291 records breached per second in first half of 2018, sur Sophos nakedsecurity.