FR
keyboard_arrow_down
Choisir une langue:
FrenchEnglish

Fuites de données : comment les éviter ?

Découvrez les bonnes pratiques à mettre en place

5 000 notifications ont été faites à la CNIL en 2021, soit un nombre moyen de 20 par jour. Avec une augmentation de + 75% par rapport à 2020, la problématique de violation des données à caractère personnel n’épargne plus personne et devient un sujet éminemment sensible pour les entreprises et les particuliers. Quels sont les principaux facteurs à l’origine de ces incidents ? Comment les éviter ?

Chiffres issus de la plateforme Threat Watch sur les fuites de données

L’ensemble de ces données est issu de la plateforme de veille et d’anticipation de PwC France, Threat Watch.

 

Au cours de l’année 2021, PwC a mené des investigations sur plusieurs dizaines d’incidents directement liés à des fuites de données et effectué des activités de cyber threat intelligence (reconnaissance, surveillance Deep et Dark web) qui ont permis d’identifier les 4 principaux facteurs à l’origine de ces incidents et des pistes d'action pour y faire face.

 

1- Les vulnérabilités

L’une des principales causes des fuites de données est l’exploitation d’une faille de sécurité du système d’information ou d’un élément du réseau informatique d’une entreprise par un groupe malveillant.

Certaines vulnérabilités comme ProxyShell, ProxyLogon ou encore Log4j ont particulièrement marqué l’année 2021. En effet, les investigations menées par PwC sur ces vulnérabilités ont démontré qu’elles étaient exploitées à de multiples reprises par différents attaquants (acteurs étatiques, opportunistes...) qui ciblaient tous types d’organisations, sans distinction de taille.

Dans ce contexte, c’est plusieurs milliers d’entreprises qui ont été exposées à ces failles comme le démontre la Bundesamt für Sicherheit in der Informationstechnik (BSI), agence allemande chargée de la sécurité des systèmes d’information, qui a identifié plus de 60 000 serveurs vulnérables à la faille ProxyLogon début mars 2021. À noter que certaines attaques ont été déclenchées plusieurs mois après la compromission de la faille initiale en raison des mécanismes de persistances déployés par des acteurs malveillants.

 

Comment s’en prémunir ?

Identifiez tous vos systèmes exposés sur Internet, vérifiez en priorité l’existence de vulnérabilités les plus critiques sur ces actifs. Le cas échéant, installez rapidement les correctifs afin de réduire la fenêtre d’exposition et en parallèle, menez une levée de doute sur ces systèmes.

 

2- La faiblesse de configuration

Les erreurs de configuration telles qu’une base de données non protégée ou un faible mot de passe provoquent souvent des fuites de données massives.

La sécurité d’une base de données face à de potentielles attaques est fortement dépendante de sa configuration. Lorsque celle-ci est mal paramétrée, l’ensemble des données (y compris les plus sensibles) peuvent être exposées, comme en témoignent les incidents liés aux bases de données ElasticSearch et MongoDB. En 2021, PwC a mené des recherches sur plusieurs incidents provoqués par une faiblesse de configuration de bases de données entraînant la divulgation de données de santé ou d’informations sur des transactions financières.

 

Comment s’en prémunir ?

Configurez votre base de données avec attention en mettant en place toutes les mesures de sécurité nécessaires. En parallèle, menez des activités régulières de découverte (reconnaissance) de votre exposition externe.
 
Pour les accès distants (bureau à distance, VPN, VDI), la configuration des options de connexion est également essentielle à la protection des données. En effet, bien souvent ces accès sont protégés par des mots de passe trop faibles ou utilisés plusieurs fois sans l’utilisation de l’authentification multifacteur. Cela rend possible de nombreuses attaques, tels que “password spraying”, “credential stuffing” ou l’utilisation des mots de passe achetés sur les forums de hacking.

 

Comment s’en prémunir ?

Choisissez des mots de passe complexes, modifiez-les régulièrement et étendez l’authentification multifacteur dans la mesure du possible.

 

3- Les tierces parties

Les crises SolarWinds et Kaseya ont montré les risques de fuites de données liées aux tiers et plus particulièrement à la chaîne d’approvisionnement. Une entreprise doit non seulement se protéger au niveau interne et externe, mais également s’assurer de la sécurité de ses tiers. En effet, 21% des cyberattaques réussies contre des entreprises en 2021 ont été des attaques dites « par rebond » (via un prestataire, client ou fournisseur). La problématique de l’attaque par rebond est d’autant plus significative que l’entreprise est fortement dépendante d’un seul fournisseur logiciel ou prestataire informatique. Dans cette configuration, une attaque sur ce prestataire peut engendrer des fuites de données en masse. Ce fut le cas en juillet 2021, lorsque le gestionnaire informatique Kaseya fut attaqué par un ransomware, affectant par ricochet entre 800 et 2 000 de ses clients.

 

Comment s’en prémunir ?

Créez un inventaire précis, identifiez les tiers qui manipulent vos données sensibles ou disposent d’un accès privilégié à votre SI. Pour ces tiers critiques, mettez en place un système de veille portant sur plusieurs aspects : les clauses contractuelles en lien avec la notification des incidents, les mesures d’urgence d’isolation, les fuites de données et les incidents. Threat Watch, plateforme de veille et d'anticipation des menaces développée par PwC, peut vous aider à identifier les risques auxquels vous êtes exposé afin de les combattre plus efficacement.
En complément, réalisez des audits de sécurité récurrents.

Identifiez simplement les compromissions de votre SI avec l'outil Compromise Discovery !

Facile à installer, cette solution vous recense les comportements à risques et traces suspectes d'une attaque en cours ou passée. Avec Compromise Discovery, renforcez la protection de vos systèmes d'information et vérifiez la conformité de votre parc informatique.

EXPLOREZ LA SOLUTION

4- La menace interne

Même si moins connue, la fuite ou la perte de données due à la malveillance ou à la négligence d’un employé peut avoir de sérieuses conséquences. Néanmoins, ces attaques sont particulièrement difficiles à identifier, et les enquêtes n’obtiennent que rarement de résultat.

 

Comment s'en prémunir ?

Portez l’effort sur la classification, le stockage et la gestion des accès à ces données. Une vigilance toute particulière doit être portée sur les accès temporaires aux systèmes qui hébergent les données sensibles. Il peut aussi être intéressant de s’équiper d’un outil d’investigation basée sur l’analyse de données type Connected eDiscovery, permettant de lutter plus efficacement contre la fraude interne.

 

Pour aller plus loin