Discussion :

[Malick]

USA : les cas de violation de données recensés ont augmenté de 40 % en 2016,
d'après un rapport de l'ITRC et du CyberScout

Aux États-Unis, avec le temps, les cas de bris de confidentialité ne cessent de croître d'une manière spectaculaire selon une étude effectuée par l'ITRC (Identity Theft Resource Center) en étroite collaboration avec le célèbre fournisseur de solutions de gestion d'identité personnelle à savoir CyberScout. Dans leur rapport, les analystes affirment qu'en 2016, le nombre de cas de violations de données déclarées aux États-Unis a atteint son plus haut niveau de tous les temps. En effet, les bris de confidentialité recensés sur l'année 2016 sont estimés à environ 1 093 contre 780 cas enregistrés en 2015, soit une variation à la hausse de 40 %.

La présidente et directrice générale de l'ITRC, Eva Velasquez, a déclaré que « CyberScout les a aidés à mieux suivre les incidents en recherchant des informations sur les cas de violation de données, cela en contactant directement les procureurs généraux conformément aux dispositions de la Freedom of Information Act. (FOIA) ». Pour rappel, la Freedom of Information Act (FOIA), traduit en français par « Loi pour la liberté d'information », est une loi américaine signée le 4 juillet 1966 par le président Lyndon B. Johnson, et entrée en application l'année suivante. Cette loi est fondée sur le principe de la liberté d'information, elle oblige ainsi les agences fédérales à transmettre leurs documents à quiconque en fait la demande, quelle que soit sa nationalité.

« Au cours des dix (10) dernières années, l'ITRC a été informé de l'insuffisance des signalements voire une sous-déclaration des incidents liés à la violation des données au niveau national et de la nécessité, pour un plus grand nombre d'organismes étatiques ou fédéraux, de rendre les notifications de violation plus accessibles au public. Cette année, nous avons constaté que plusieurs États ont adopté cette recommandation en publiant sur leurs sites Web des notifications de violation de données. Le rapport de l'ITRC sur la violation des données durant l'année 2016 a intégré les informations provenant de plus d'une douzaine d'organismes publics », a ajouté M. Velasquez.

« Depuis 2005, les cas de violations de données ont principalement été identifiés dans cinq secteurs industriels. Toutefois, en 2016, le secteur des affaires a de nouveau battu le record des incidents avec 494 signalements, représentant 45,2 % des bris de confidentialité recensés. Les soins de santé et les services médicaux viennent en deuxième position avec 377 incidents soit 34,5 % du total. Ces deux domaines sont respectivement suivis par le secteur de l'éducation avec 98 signalements (9,0 %), le gouvernement et l'armée avec 72 signalements (6,6 %) et le secteur bancaire ou il a été dénombré 52 cas de signalements (4,8 %).», peut-on noter dans le rapport.

Selon les analystes, pour la huitième année consécutive, les attaques par hacking/skimming/phishing ont été la principale cause d'incidents de violations de données. Ce type d'attaque représente 55,5 % du nombre total de violations enregistrées en 2016, soit une augmentation de 17,7 % par rapport aux chiffres de l'année 2015. Poursuivant leur analyse, l'ITRC et CyberScout nous informent que les bris de confidentialité résultant d'une exposition accidentelle sur internet des informations relatives aux courriers électroniques constituent le deuxième type d'infraction le plus fréquent avec 9,2 % du nombre total de violations enregistrées. Les erreurs commises par les employés viennent en troisième position du classement avec 8,7 % du volume total d'attaques enregistrées. Comme le montre l'image ci-dessous, à l'exception des attaques par piratage, toutes les autres catégories ont enregistré des baisses par rapport aux chiffres de 2015.

l'IRTC et le CyberScout soutiennent également qu'en 2016, les numéros de sécurité sociale (SSN) ont été fortement exposés avec 52 % des infractions, correspondant ainsi à une augmentation de 8,2 % par rapport à 2015. Ils ajoutent que l'exposition des dossiers impliquant des cartes de crédit/débit est de l'ordre de 13,1 %, soit une baisse de 7,4 % comparée aux données de l'année précédente.

« Les entreprises de grandes tailles sont touchées par les bris de confidentialité à cause de l'importante hausse des attaques par hameçonnage. Un seul clic d'une souris de la part d'un employé naïf peut faire perdre à l'entreprise le contrôle de ses données clients, salariés et commerciales. Ainsi, à l'ère d'une menace sans précédent, les dirigeants d'entreprises doivent atténuer les risques en élaborant des stratégies et des plans pour la prévention, la protection et la résolution des violations de données. », a déclaré Matt Cullina, PDG de CyberScout et vice-président du conseil d'administration de l'ITRC.

Source : Identity Theft Resource Center

Et vous ?

Que pensez-vous des statistiques de l'ITRC ?

[NSKis]

Est-ce que les "bris de confidentialité" des 17 agences de renseignement du gouvernement US dont la NSA sont comptabilisés?

Non, Monsieur, parce que le graphique n'était pas assez grand pour y dessiner la courbe exponentielle!!!

[Matthieu Vergne]

Est-ce que cette augmentation survient à la suite :
- d'une réelle augmentation du nombre d'attaques lancées ?
- d'une augmentation de la surface des attaques massives ?
- d'une prise de conscience des entreprises qui publient plus facilement les attaques qu'elles subissent ?

Je parierait davantage sur les deux derniers.