Discussion :

[Stéphane le calme]

Le nombre de violations de données signalées en 2018 par les entreprises a diminué de 8% comparé à l'année dernière,
et le nombre d'enregistrements exposés a diminué d'environ 49%

Au dernier trimestre de 2018, le nombre d'infractions signalées répertoriées depuis le début de l'année a diminué de 8% et le nombre d'enregistrements exposés, d'environ 49%. Il était de 7 milliards en 2017 contre 3,6 milliards en 2018.

Est-ce une bonne nouvelle ? Inga Goddijn, vice-présidente exécutive de Risk Based Security, note que le nombre d'infractions signalées montre une certaine amélioration par rapport à 2017 et le nombre d'enregistrements exposés a considérablement diminué. Mais le déclin de 2017 n’est qu’une partie de l’histoire. 2018 est sur la bonne voie pour avoir le deuxième nombre d'infractions le plus signalé et le troisième plus grand nombre d'enregistrements exposés depuis 2005. Malgré la diminution par rapport à 2017, la tendance générale continue à être de plus en plus d'infractions et plus de « méga-infractions » affectant des centaines de millions d'enregistrements à la fois.

En effet, le dernier rapport QuickView sur les violations de données de Risk Based Security indique que sept violations ont révélé 100 millions d'enregistrements ou plus, les 10 plus graves représentant 84,5% des enregistrements exposés cette année à ce jour.

Une nouvelle mesure que Risk Based Security suit en 2018 est l'intervalle de temps entre le moment où une violation est découverte et le moment où l'événement est divulgué publiquement. Dans l’ensemble, l’écart s’est réduit au cours des dernières années. Cependant, l'examen des moyennes pour 2018 ne montre aucune amélioration par rapport à 2017, malgré la pression réglementaire croissante pour accélérer la divulgation publique. Avec 34,5% des organisations ayant subi une violation de données qui refusent ou sont incapables de divulguer le nombre de documents exposés, il est clair que des progrès supplémentaires doivent être accomplis.

Le piratage reste la principale cause d'événements de compromission des données, représentant 57,1% des violations divulguées. Toutefois, le piratage n'est pas responsable de la plupart des enregistrements exposés. Cet honneur douteux appartient toujours à la fraude, qui représente 35,7% des enregistrements exposés jusqu'à présent cette année. Le skimming (écrémage) reste un problème persistant aux guichets automatiques et pour les opérateurs de stations-service. Environ 53% des cas de skimming ont été découverts dans des guichets automatiques et 42% dans des stations services. Rappelons que le skimming est une technique qui consiste à dupliquer les données bancaires stockées sur la bande magnétique de la carte et parfois le code secret à 4 chiffres, grâce à une caméra ou à un clavier numérique détourné..

Pour Goddijn, « La principale différence entre 2018 et 2017 est l'absence d'événement catastrophique tel que les épidémies WannaCry et Petya / NotPetya qui ont laissé une marque indélébile en 2017. Tout ce qu'il faudra, c'est un autre EternalBlue exploitant une autre vulnérabilité généralisée pour nous remettre dans le rang de la "pire année” ».

Voici en gros les points les plus marquants :

• Au 30 septembre, 3 676 infractions ont été signalées, révélant environ 3,6 milliards de d’enregistrements ;
• Par rapport à la même période en 2017, le nombre d'infractions signalées a diminué de 8% et le nombre d'enregistrements exposés, d'environ 7 milliards, est en baisse d'environ 49% ;
• Le secteur des entreprises représentait 38% des infractions signalées, suivi du gouvernement (8,2%), de l’industrie médicale (7,8%) et de l'éducation (3,9%). Près de 43% des infractions dans les organisations n’ont pas pu être classées ;
• Sept violations ont révélé 100 millions d’enregistrements ou plus, les 10 plus graves représentant 84,5% des enregistrements exposés à ce jour de l'année ;
• • Le secteur des entreprises représentait 63,6% des enregistrements exposés, suivi de 34,8% pour le secteur non classé et de 1,4% pour le gouvernement. Le modèle de 2017 et les deux trimestres de 2018 restent inchangés ; les secteurs de la médecine et de l'éducation réunis représentant moins de 1% du nombre total d'enregistrements exposés depuis le début de l'année ;
• • La fraude reste au premier rang pour le type d'infraction compromettant le plus grand nombre d'enregistrements, représentant 35,7% des enregistrements exposés, tandis que le piratage prend la tête du plus grand nombre d’infractions signalées avec 57,1% ;
• 2018 continue d'être marqué par un manque de transparence, avec 34,5% des organisations ayant été des victimes d’une violation de données mais qui refusent ou sont incapables de divulguer le nombre d'enregistrements exposés.

Source : rapport en PJ (au format PDF)

Voir aussi :

L'US Copyright Office légalise le piratage de smartphones et d'appareils intelligents domestiques, tant que ça reste dans le cadre de réparations
Apple aurait réussi à bloquer complètement GrayKey, l'outil de piratage de mot de passe de la police dans iOS 12, avec une solution mystérieuse
Yahoo accepte de payer 50 millions de dollars pour dédommager les victimes du piratage, cela concerne les internautes américains et israéliens
USA : une nouvelle preuve de piratage de matériel Supermicro dans une société de Télécom, montrant que la Chine continue son opération de sabotage

[Lcf.vs]

Impact réel du RGPD ? Les entreprises auraient davantage peur de les signaler ?

[marsupial]

Je ne pense pas que ce soit le RGPD étant donné que le document en pièce jointe nous informe que la majeur partie des attaques se situe aux Etats-Unis. Je préfère y voir une prise de responsabilité après Wanna Cry-Not Petya et un investissement dans la sécurité accru.

[gangsoleil]

En gros, c'est en recul par rapport à 2017 qui était une année record, mais sur les 5 dernières années, 2018 se classe en 2nde position (CF graphiques page 3), donc il n'y a vraiment pas de quoi se réjouir.