Fuites de données, comment les éviter ?

Découvrez les bonnes pratiques à mettre en place

4 088 notifications ont été faites à la CNIL en 2022, soit un nombre moyen de 16 par jour. La problématique de violation des données à caractère personnel n’épargne plus personne et devient un sujet éminemment sensible pour les entreprises et les particuliers. Quels sont les principaux facteurs à l’origine de ces incidents ? Comment les éviter ?

Au cours de l’année 2023, PwC a mené des investigations sur plusieurs dizaines d’incidents directement liés à des fuites de données et effectué des activités de cyber threat intelligence (reconnaissance, surveillance Deep et Dark web) qui ont permis d’identifier les 4 principaux facteurs à l’origine de ces incidents et des pistes d'action pour y faire face.

 

1- Les vulnérabilités

L’une des principales causes des fuites de données est l’exploitation d’une faille de sécurité du système d’information ou d’un élément du réseau informatique d’une entreprise par un groupe malveillant.

En 2022, le nombre de vulnérabilités de sécurité a explosé. Selon le MITRE, leur nombre s’est élevé à 25 059 - + 20 % par rapport à 2021. 2023 ne devrait pas faire exception et devrait confirmer la tendance.

Certaines vulnérabilités comme ProxyShell, ProxyLogon ou encore Log4j ont particulièrement marqué l’année 2021. En effet, les investigations menées par PwC sur ces vulnérabilités ont démontré qu’elles étaient exploitées à de multiples reprises par différents attaquants (acteurs étatiques, opportunistes...) qui ciblaient tous types d’organisations, sans distinction de taille.

Dans ce contexte, c’est plusieurs milliers d’entreprises qui ont été exposées à ces failles comme le démontre la Bundesamt für Sicherheit in der Informationstechnik (BSI), agence allemande chargée de la sécurité des systèmes d’information, qui a identifié plus de 60 000 serveurs vulnérables à la faille ProxyLogon début mars 2021. À noter que certaines attaques ont été déclenchées plusieurs mois après la compromission de la faille initiale en raison des mécanismes de persistances déployés par des acteurs malveillants.

 

Comment s’en prémunir ?

Identifiez tous vos systèmes exposés sur Internet, vérifiez en priorité l’existence de vulnérabilités les plus critiques sur ces actifs. Le cas échéant, installez rapidement les correctifs afin de réduire la fenêtre d’exposition et en parallèle, menez une levée de doute sur ces systèmes.

 

2- La faiblesse de configuration

Les erreurs de configuration telles qu’une base de données non protégée ou un faible mot de passe provoquent souvent des fuites de données massives.

La sécurité d’une base de données face à de potentielles attaques est fortement dépendante de sa configuration. Lorsque celle-ci est mal paramétrée, l’ensemble des données (y compris les plus sensibles) peuvent être exposées, comme en témoignent les incidents liés aux bases de données ElasticSearch et MongoDB. En 2021, PwC a mené des recherches sur plusieurs incidents provoqués par une faiblesse de configuration de bases de données entraînant la divulgation de données de santé ou d’informations sur des transactions financières.

 

Comment s’en prémunir ?

Configurez votre base de données avec attention en mettant en place toutes les mesures de sécurité nécessaires. En parallèle, menez des activités régulières de découverte (reconnaissance) de votre exposition externe.
 
Pour les accès distants (bureau à distance, VPN, VDI), la configuration des options de connexion est également essentielle à la protection des données. En effet, bien souvent ces accès sont protégés par des mots de passe trop faibles ou utilisés plusieurs fois sans l’utilisation de l’authentification multifacteur. Cela rend possible de nombreuses attaques, tels que “password spraying”, “credential stuffing” ou l’utilisation des mots de passe achetés sur les forums de hacking.

 

Comment s’en prémunir ?

Choisissez des mots de passe complexes, modifiez-les régulièrement et étendez l’authentification multifacteur dans la mesure du possible.

 

3- Les tierces parties

Les crises SolarWinds et Kaseya ont montré les risques de fuites de données liées aux tiers et plus particulièrement à la chaîne d’approvisionnement. Une entreprise doit non seulement se protéger au niveau interne et externe, mais également s’assurer de la sécurité de ses tiers. En effet, 24% des cyberattaques réussies contre des entreprises en 2021 ont été des attaques dites « par rebond » (via un prestataire, client ou fournisseur*). La problématique de l’attaque par rebond est d’autant plus significative que l’entreprise est fortement dépendante d’un seul fournisseur logiciel ou prestataire informatique. Dans cette configuration, une attaque sur ce prestataire peut engendrer des fuites de données en masse.

 

Comment s’en prémunir ?

Créez un inventaire précis, identifiez les tiers qui manipulent vos données sensibles ou disposent d’un accès privilégié à votre SI. Pour ces tiers critiques, mettez en place un système de veille portant sur plusieurs aspects : les clauses contractuelles en lien avec la notification des incidents, les mesures d’urgence d’isolation, les fuites de données et les incidents. Threat Watch, plateforme de veille et d'anticipation des menaces développée par PwC, peut vous aider à identifier les risques auxquels vous êtes exposé afin de les combattre plus efficacement.
En complément, réalisez des audits de sécurité récurrents.

4- La menace interne

Même si moins connue, la fuite ou la perte de données due à la malveillance ou à la négligence d’un employé peut avoir de sérieuses conséquences. Néanmoins, ces attaques sont particulièrement difficiles à identifier, et les enquêtes n’obtiennent que rarement de résultat.

 

Comment s'en prémunir ?

Portez l’effort sur la classification, le stockage et la gestion des accès à ces données. Une vigilance toute particulière doit être portée sur les accès temporaires aux systèmes qui hébergent les données sensibles. Il peut aussi être intéressant de s’équiper d’un outil d’investigation basée sur l’analyse de données type Connected eDiscovery, permettant de lutter plus efficacement contre la fraude interne.

_____________________

* Baromètre CESIN 2022

Ces articles pourraient aussi vous intéresser