En 2021, 22 milliards de données ont été violées.
Aujourd’hui, l’une des marchandises d’échange les plus précieuses sur le marché mondial sont les données : informations sensibles, professionnelles et personnelles, tendances, goûts, opinions, informations financières.
Comme l’a souligné à plusieurs reprises la Commission européenne, les données sont la matière première du marché unique numérique.
Comme l’écrivent Fabio Pompeio et Alessandro Alongi dans leur livre Droit à la vie privée et protection des données personnelles. Le RGPD à l’épreuve de l’économie axée sur les données « Il se passe plus de choses en ligne en une minute qu’en une journée entière dans la vie réelle : des millions de courriels qui voyagent d’une partie du monde à l’autre, autant de photos, de vidéos et de commentaires sont postés sur les réseaux sociaux, les moteurs de recherche indexent les informations, des centaines de milliers d’utilisateurs téléchargent du contenu, des documents et des informations depuis le Web et, selon les données des dernières années, 751 000 dollars sont dépensés en ligne. »
À la fin d’une journée moyenne, écrivent encore les deux auteurs, « on compte 42 milliards de messages sur WhatsApp, 150 milliards de courriels et 66 milliards de photos sur Instagram. Des chiffres records, impensables jusqu’à il y a quelques années, et possibles aujourd’hui uniquement grâce au réseau, au Web et à l’énorme capacité des machines modernes à traiter les données et les informations. Facebook définit qui nous sommes, Amazon ce que nous voulons et Google ce que nous pensons. Les géants du Web définissent surtout notre réputation, étant donné que celle-ci est pour la plupart reconstruite sur l’interprétation des traces que nous laissons dans nos interactions en réseau, ainsi que sur la base des données disponibles à notre sujet. »
Toutes ces informations sont ensuite utilisées à des fins commerciales, pour nous envoyer des publicités personnalisées, mais aussi pour créer des profils auxquels les compagnies d’assurance ou les employeurs potentiels ou toute personne susceptible d’être intéressée par des informations nous concernant pourront se référer. Elles ont donc une grande valeur économique.
Mais c’est un niveau dont nous sommes tous plus ou moins conscients et que nous pouvons donc gérer dans la mesure du possible, si seulement nous décidons de le faire. Il est difficile d’être invisible aujourd’hui, mais on peut y arriver.
Violation et vol de données
Mais il y a un niveau beaucoup plus insidieux : c’est celui de la véritable violation et du vol de données.
En 2021, selon le rapport de la société américaine Risk Based Security, 22 milliards de données ont été piratées.Elles ont probablement fini sur les marchés du dark web pour être vendues à la communauté des cybercriminels qui, à leur tour, les utilisent pour mettre au point des cyber-attaques, y compris le vol d’identité, la compromission d’e-mails professionnels (Business Email Compromise, BEC) et l’infection par rançongiciel. Pour le dire simplement, les données sont la base du crime exercé sur le Net à tel point que, selon les experts, sans elles, les pirates n’auraient pas réussi à mettre la main sur les 1 500 milliards de dollars de revenus réalisés en 2019.
Selon le Data Breach Investigations Report – DBIR 2022 –les quatre principales méthodes utilisées par les pirates informatiques à cette fin sont : le vol d’informations d’identification, le phishing, l’exploitation des vulnérabilités et les botnets.
Le vol d’identifiants
Selon le DBIR 2022, depuis 2017, il y a eu une augmentation de 30 % des informations d’identification volées. Se faire voler ses identifiants de connexion, tels que son nom d’utilisateur et son mot de passe, revient à ouvrir grand les portes aux criminels et à leur fournir des données professionnelles, personnelles et bancaires.
Cela vaut également pour les employés qui ont des rôles non pas de responsabilité mais plus « latéraux ». Pour le hacker, l’objectif est d’entrer dans le réseau de l’entreprise, peu importe d’où il vient.
Une erreur très courante mais qui peut avoir des conséquences dangereuses consiste par exemple à partager votre mot de passe ou de le réutiliser pour plusieurs comptes. Une erreur très courante, comme le relève l’enquête Google, selon laquelle 52 % des personnes réutilisent les mots de passe pour plusieurs comptes.
L’hameçonnage (phishing)
Le phishing est en tête de tous les classements de vol de données personnelles. C’est le système le plus utilisé par les cybercriminels, experts en ingénierie sociale et, en même temps, celui qui enregistre le plus de victimes. C’est parce que le phishing sous toutes ses formes et déclinaisons (phishing, spray-phishing, spear-phishing, smishing et vishing) représente la voie directe pour entrer dans une organisation. Même le rançongiciel, qui ne concernait auparavant que l’extorsion financière, est maintenant utilisé pour voler des données.
Et le défi devient de plus en plus ardu car même l’authentification à deux facteurs ne peut pas nous permettre de dormir tranquille. Les hackers sont de plus en plus créatifs et trouvent de nouveaux moyens de contourner ce type de protection.
Exploiter les vulnérabilités
Le phishing et le vol d’informations d’identification exploitent souvent des vulnérabilités qui mènent toujours au butin habituel : le vol de données. Les vulnérabilités du logiciel sont courantes. CVE Details, qui gère une base de données, a enregistré plus de 20 000 vulnérabilités en 2021, chacune pouvant potentiellement permettre à un pirate informatique d’exploiter la faille et de prendre le contrôle d’une application pour voler des données ou installer des logiciels malveillants. Sur ce point aussi, il y a encore beaucoup à faire.
Botnets
Un botnet, mot formé par les termes « robot » et « network », est un réseau informatique contrôlé par un botmaster et composé d’appareils infectés par des malwares appelés, précisément, des bots ou des zombies. Les criminels qui en ont le contrôle le gèrent à distance pour effectuer des cyberattaques avec des objectifs variés : l’envoi d’e-mails de phishing, de logiciels malveillants et/ou l’exécution d’une attaque par déni de service. Tout cela peut s’inscrire dans un objectif plus large de vol de données.
Selon SpamHaus, au quatrième trimestre 2021, l’activité des botnets a augmenté de 23 %.
Le facteur humain
Des types de violation différents mais qui ont à l’origine la même faille : le facteur humain, le véritable maillon faible de la chaîne. Selon le DBIR 2022, 82 % des violations ont pour origine une erreur humaine. Ce sont précisément « les personnes qui continuent à jouer un rôle très important tant dans les accidents que dans les infractions », peut-on lire.
C’est donc sur l’élément humain qu’il faut intervenir, en le rendant conscient, en l’instruisant, en le formant et en le mettant en mesure de répondre rapidement aux menaces qui viennent et viendront, de plus en plus nombreuses et de plus en plus agressives, du Web. Il n’y a donc qu’une solution : une formation efficace et de qualité.
Afin de prévenir les dommages cybernétiques, qui peuvent avoir des conséquences très graves, les entreprises doivent choisir des plates-formes de formation qui sont à la hauteur du défi d’aujourd’hui : mettre leurs organisations à l’abri des attaques et les préparer à toujours se défendre correctement. Pour atteindre cet objectif, chaque employé doit maîtriser une posture numérique correcte et être prêt à reconnaître et à gérer tout type d’attaque.
C’est le seul véritable obstacle pour les pirates et cela peut garantir une protection efficace et durable pour l’ensemble de l’entreprise.
En savoir plus sur les parcours de formation de Cyber Guru
