Discussion :

[Stan Adkens]

Les violations de données ont coûté aux organisations américaines 1,8 billion $ au cours des 2 dernières années,
Avec l'accès non autorisé comme l'attaque la plus courante en 2019, selon un rapport

Une brèche dans les données peut être préjudiciable pour une organisation en raison du vol et de la fuite d'informations sensibles. Cependant, alors que les dépenses des organisations en produits et services liés à la sécurité de l'information augmentent chaque année, le nombre de consommateurs et d'organisations touchés par les violations de données et les attaques malveillantes ne cesse de croître. Un nouveau rapport de ForgeRock, une société de logiciels de gestion des identités et des accès, montre comment et où les violations de données d’identité affectent les entreprises américaines et leurs clients.

La deuxième publication du rapport annuel, baptisé « ForgeRock Consumer Identity Breach Report » et publié le mercredi, décrit les atteintes à l'identité des consommateurs américains et les coûts financiers qui en résultent. Depuis la publication du rapport de 2019 sur les données de 2018, le coût moyen d'une infraction aux États-Unis a augmenté de 112 % pour atteindre 8,19 millions de dollars en 2019, au lieu de 3,86 millions de dollars, d’après le rapport 2020. Le nombre d’enregistrements de consommateurs a également augmenté en 2019 pour atteindre plus de cinq milliards, soit une augmentation de 78,57 % par rapport aux 2,8 milliards de dossiers en 2018.

Selon le rapport, les cybercriminels ont exposé plus de cinq milliards d’enregistrements en 2019, ce qui a coûté plus de 1,2 billion (1,2 mille milliards) de dollars aux organisations américaines. Si l'on ajoute à cela les 2,8 milliards d'enregistrements qui ont été exposés en 2018 et qui ont coûté 654 milliards de dollars, cela signifie que les infractions commises au cours des deux dernières années ont coûté plus de 1,8 billion (1,8 mille milliards) de dollars aux organisations américaines.

Le secteur des soins de santé était le plus ciblé en 2019

Même avant la pandémie du coronavirus, les soins de santé étaient le secteur le plus ciblé l'année dernière, avec 382 violations de données entraînant des coûts de plus de 2,5 milliards de dollars, ce qui représente un bond énorme par rapport aux 164 incidents et aux 633 millions de dollars de coûts observés en 2018. Après les soins de santé, la banque/assurance/industrie financière ont été le secteur le plus ciblé en 2019, représentant 12 % de toutes les violations. Viennent ensuite l'éducation avec 6 %, le gouvernement et le commerce de détail avec 5 % dans chaque secteur.

Bien que les soins de santé aient été le secteur le plus ciblé en 2019, les entreprises technologiques ont vu le plus grand nombre d'enregistrements compromis en raison de violations de données. Les violations ont coûté au secteur technologique plus de 250 milliards de dollars, puisque plus de 1,37 milliard d'enregistrements ont été exposés au cours de l'année.

En termes de données exposées, les informations personnelles identifiables (PII) sont restées le type de données le plus ciblé par les attaquants et ont été compromises dans 98 % des violations enregistrées l'année dernière. Plus précisément, les numéros de sécurité sociale ont été le type d'information le plus populaire, avec 384 violations en 2019. L'accès non autorisé a été le vecteur d'attaque le plus utilisé en 2019, responsable de 40 % des violations. Parmi les autres formes d'attaque les plus courantes, on peut citer les attaques aux ransomewares et aux logiciels malveillants avec 15 % et des campagnes de phishing avec 14 %.

« En ce qui concerne les violations de données, nous constatons que le plus gros problème de cybersécurité reste un problème d'identité », a déclaré Eve Maler, directrice technique de ForgeRock. « Les conclusions du rapport sur les violations d'identité des consommateurs montrent que les entreprises doivent accroître leur maturité en matière de gestion des identités et des accès. Le secret est de démocratiser le contrôle des données de sorte que les organisations puissent permettre à des utilisateurs connus de se rendre sur des "voies express" d'authentification pour une grande expérience, en leur confiant des options de consentement pratiques, et de faire sauter les mauvais acteurs dans des cerceaux supplémentaires pour aider à prévenir la fraude ».

2020 devrait dépasser 2019 en termes de nombre d’enregistrements exposés

Alors que les organisations se remettent lentement des effets de la pandémie covid-19, l'impact de ces violations sera encore important en 2020. En effet, les consommateurs utilisent plus que jamais leur identité numérique pour les tâches et les activités en ligne afin de maintenir leur vie quotidienne, pour tout, de l'accès à distance aux applications professionnelles à la commande d'épicerie ou au maintien des liens sociaux entre amis et familles. Selon le rapport, les informations personnelles identifiables continuent d'être la première cible de données pour les acteurs malveillants.

Selon le rapport, sur la base des données recueillies jusqu'à présent, 2020 devrait dépasser 2019 en termes de nombre d’enregistrements exposés, malgré le fait que le nombre de violations ait diminué de 57 %. Au cours du seul premier trimestre 2020, 92 violations de données ont touché 1,6 milliard d'enregistrements, soit près de 9 % de plus qu'au premier trimestre 2019. Il n'est peut-être pas surprenant que les dossiers médicaux soient le type d'informations confidentielles le plus recherché au premier trimestre 2020, représentant 25 % de toutes les données exposées.

« Les cybercriminels continuent d'affiner leurs vecteurs d'attaque et peuvent exécuter un volume d'attaques plus important que jamais pour voler les données des consommateurs », a déclaré Eve Maler dans un communiqué de presse. « Les entreprises doivent évaluer de manière critique les faiblesses de leurs stratégies de gestion de l'identité numérique. Étant donné que de nouvelles pressions s'exercent pour que les murs des châteaux d'entreprises soient démolis pour permettre l'accès par des appareils "bring-your-own", des travailleurs temporaires et des applications extérieures, les organisations doivent déployer une plateforme moderne qui offre une sécurité intelligente, contextuelle et continue, capable de déclencher une validation d'identité après avoir détecté un comportement anormal », a-t-elle ajouté.

Face à ces risques, pour mieux prévenir les violations de données d’identité, ForgeRock recommande aux organisations :

• Des solutions d'identité numérique : Selon le rapport, la bonne solution d'identité numérique doit permettre d'orchestrer les parcours de l'identité des utilisateurs, comme l'enregistrement et l'authentification, d'une manière pratique qui unifie les contrôles de sécurité et l'expérience utilisateur. Elle devrait également permettre à l'entreprise de protéger les données personnelles de manière transparente et d'étendre le contrôle du consentement et des autorisations concernant les données de manière unifiée pour chaque utilisateur, ce qui renforcera la confiance de ce dernier dans le fournisseur de services.

• Gouvernance de l'identité : La gouvernance de l'identité est un élément clé de la prévention des accès non autorisés, selon le rapport. La bonne approche, selon ForgeRock, consiste à exploiter le cloud et l'AI/ML (intelligence artificielle/apprentissage machine) pour créer des solutions de gouvernance intelligente. Elle utilise les vastes quantités de données qu'une entreprise possède déjà pour apprendre et prévoir un bon accès. Elle permet aux organisations d'utiliser un portefeuille de modèles d'apprentissage machine. Elle permet également la flexibilité d'ingérer de grandes quantités de données provenant des différentes sources de données disponibles. Surtout, la bonne solution réduit en fait l'effort et déverrouille la valeur des investissements dans la gestion des identités et des accès, d’après le rapport.

Source : ForgeRock

Et vous ?

Que pensez-vous de ce rapport ?
Les nombres d’infractions et leurs coûts sont-ils pertinents, selon vous ?
Le rapport a classé l'accès non autorisé comme la violation de données la plus courante en 2019. Quel commentaire en faites-vous ?
Que faudrait-il faire selon vous pour limiter ce type d'infractions ?

Lire aussi

Près de 80 % des firmes ont subi une fuite de données liée à leurs infrastructures cloud dans les 18 derniers mois, les erreurs de configuration sont en tête des menaces à la sécurité révèle l'IDC
Violations de données touchant les entreprises : quel est l'impact sur les salariés ?Kaspersky s'est penché sur la question
Les entreprises sous-estiment l'impact du vol des données des employés, qui peuvent apporter une vue d'ensemble sur les données clients au cybercriminel
En 2019, presque 15,2 milliards d'enregistrements de données ont été exposés et plus de 7 000 infractions ont été signalées, d'après un rapport

[marsupial]

Etant donné que ce rapport se base sur ce qui a été détecté, le potentiel de violations peut être au moins doublé. Et là, les pertes financières sont difficilement calculables puisque cela va de l'espionnage industriel au financier entraînant perte de marchés ou rachat inamical. On est en droit de se demander ce qu'un tel rapport donnerait en Europe. Easyjet va faire face à une action collective qui pourrait très bien couler la compagnie.

Que faudrait-il faire selon vous pour limiter ce type d'infractions ?

Au minimum de l'authentification à double facteurs et un serveur gérant les identités et les droits d'accès blindé.

[L ami graine]

J'ai du mal à croire que les violations de données ont coûté 8 % du PIB américain.
C'est vraiment énorme.

[tanaka59]

Bonsoir,

Que pensez-vous de ce rapport ?

On ne traite que la partie immergé de l'iceberg. 1800 milliards de $ parait bien énorme ... mais sous estimé. Quid de la perte "induite" en cas d'investissement en urgence ou de part de marché perdu ?

Les nombres d’infractions et leurs coûts sont-ils pertinents, selon vous ?

Non c'est sous estimé . Puis on ne tiens pas compte des pertes "induite" a cause de protection en plus ou de perte de part de marché qui sont difficilement calculable.

Le rapport a classé l'accès non autorisé comme la violation de données la plus courante en 2019. Quel commentaire en faites-vous ?

Les numéros de sécu comme numéro fiscaux ont le vent en poupe. On associe un numéro utilisé pour les services de soins à un numéro utiliser pour "toucher" un salaire et des presta sociales. Aux usa comme en France un numéro de secu utilisé de manière frauduleuse permet d'avoir accès à des prestas sociales ou de souscrire à des crédits.

Phénomène qui existe, qui se développe et peut être destructeur sur le long terme pour les victimes ... Quid du préjudice moral ? De l'image d'une entreprise ? La encore préjudice non chiffrable pour la "confiance" ...

Que faudrait-il faire selon vous pour limiter ce type d'infractions ?

L'education, la prevention, la vigilance ... des pigeons victimes de fraudes il y en aura toujours ... comme le vol de données .

Pour s'assurer que la personne moral ou physique est bien cette personne qui utilise les données qui la concerne, pas de secret > contrôler, certifier ... Contrôler les titres d'identités, la validité comme la véracité des paiements.