Fuites de données : comment les éviter ?
5 000 notifications ont été faites à la CNIL en 2021, soit un nombre moyen de 20 par jour. Avec une augmentation de + 75% par rapport à 2020, la problématique de violation des données à caractère personnel n’épargne plus personne et devient un sujet éminemment sensible pour les entreprises et les particuliers. Quels sont les principaux facteurs à l’origine de ces incidents ? Comment les éviter ?
L’ensemble de ces données est issu de la plateforme de veille et d’anticipation de PwC France, Threat Watch.
Au cours de l’année 2021, PwC a mené des investigations sur plusieurs dizaines d’incidents directement liés à des fuites de données et effectué des activités de cyber threat intelligence (reconnaissance, surveillance Deep et Dark web) qui ont permis d’identifier les 4 principaux facteurs à l’origine de ces incidents et des pistes d'action pour y faire face.
1- Les vulnérabilités
L’une des principales causes des fuites de données est l’exploitation d’une faille de sécurité du système d’information ou d’un élément du réseau informatique d’une entreprise par un groupe malveillant.
Certaines vulnérabilités comme ProxyShell, ProxyLogon ou encore Log4j ont particulièrement marqué l’année 2021. En effet, les investigations menées par PwC sur ces vulnérabilités ont démontré qu’elles étaient exploitées à de multiples reprises par différents attaquants (acteurs étatiques, opportunistes...) qui ciblaient tous types d’organisations, sans distinction de taille.
Dans ce contexte, c’est plusieurs milliers d’entreprises qui ont été exposées à ces failles comme le démontre la Bundesamt für Sicherheit in der Informationstechnik (BSI), agence allemande chargée de la sécurité des systèmes d’information, qui a identifié plus de 60 000 serveurs vulnérables à la faille ProxyLogon début mars 2021. À noter que certaines attaques ont été déclenchées plusieurs mois après la compromission de la faille initiale en raison des mécanismes de persistances déployés par des acteurs malveillants.
Comment s’en prémunir ?
Identifiez tous vos systèmes exposés sur Internet, vérifiez en priorité l’existence de vulnérabilités les plus critiques sur ces actifs. Le cas échéant, installez rapidement les correctifs afin de réduire la fenêtre d’exposition et en parallèle, menez une levée de doute sur ces systèmes.
2- La faiblesse de configuration
Les erreurs de configuration telles qu’une base de données non protégée ou un faible mot de passe provoquent souvent des fuites de données massives.
La sécurité d’une base de données face à de potentielles attaques est fortement dépendante de sa configuration. Lorsque celle-ci est mal paramétrée, l’ensemble des données (y compris les plus sensibles) peuvent être exposées, comme en témoignent les incidents liés aux bases de données ElasticSearch et MongoDB. En 2021, PwC a mené des recherches sur plusieurs incidents provoqués par une faiblesse de configuration de bases de données entraînant la divulgation de données de santé ou d’informations sur des transactions financières.
Comment s’en prémunir ?
Comment s’en prémunir ?
Choisissez des mots de passe complexes, modifiez-les régulièrement et étendez l’authentification multifacteur dans la mesure du possible.
3- Les tierces parties
Les crises SolarWinds et Kaseya ont montré les risques de fuites de données liées aux tiers et plus particulièrement à la chaîne d’approvisionnement. Une entreprise doit non seulement se protéger au niveau interne et externe, mais également s’assurer de la sécurité de ses tiers. En effet, 21% des cyberattaques réussies contre des entreprises en 2021 ont été des attaques dites « par rebond » (via un prestataire, client ou fournisseur). La problématique de l’attaque par rebond est d’autant plus significative que l’entreprise est fortement dépendante d’un seul fournisseur logiciel ou prestataire informatique. Dans cette configuration, une attaque sur ce prestataire peut engendrer des fuites de données en masse. Ce fut le cas en juillet 2021, lorsque le gestionnaire informatique Kaseya fut attaqué par un ransomware, affectant par ricochet entre 800 et 2 000 de ses clients.
Comment s’en prémunir ?
Identifiez simplement les compromissions de votre SI avec l'outil Compromise Discovery !
Facile à installer, cette solution vous recense les comportements à risques et traces suspectes d'une attaque en cours ou passée. Avec Compromise Discovery, renforcez la protection de vos systèmes d'information et vérifiez la conformité de votre parc informatique.
4- La menace interne
Même si moins connue, la fuite ou la perte de données due à la malveillance ou à la négligence d’un employé peut avoir de sérieuses conséquences. Néanmoins, ces attaques sont particulièrement difficiles à identifier, et les enquêtes n’obtiennent que rarement de résultat.
Comment s'en prémunir ?
Portez l’effort sur la classification, le stockage et la gestion des accès à ces données. Une vigilance toute particulière doit être portée sur les accès temporaires aux systèmes qui hébergent les données sensibles. Il peut aussi être intéressant de s’équiper d’un outil d’investigation basée sur l’analyse de données type Connected eDiscovery, permettant de lutter plus efficacement contre la fraude interne.