Plus de 75 % des données volées contiennent des informations à caractère personnel,
d’après une étude de la société de cybersécurité Imperva
Une analyse approfondie de plus de 100 des plus grandes violations de données de la dernière décennie par Imperva Research Labs révèle une réalité sombre et troublante. Non seulement le nombre et la fréquence des violations ont augmenté au cours de la dernière décennie, mais la grande majorité de ces données – 75,9 % – peuvent être classées comme des données à caractère personnel. Dans le cadre des efforts continus des laboratoires de sécurité d'Imperva pour surveiller et rendre compte du paysage actuel des menaces pour la sécurité des applications et des données, les chercheurs d'Imperva ont étudié et analysé plus de 100 des violations de données les plus importantes et les plus connues de la dernière décennie.
L'étude menée par Imperva indique qu'environ 75,9 % des informations volées au cours d'un certain nombre de violations de données majeures contenaient ce que l'on appelle des données à caractère personnel. Une donnée à caractère personnel correspond à toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres. Étant donné qu'une centaine de violations de données survenues au cours des quatre dernières années ont été prises en compte lors de la réalisation de cette étude, il suffit de dire que la véracité de ces affirmations n'est pas si difficile à prouver et qu'elles suggèrent que la plupart des utilisateurs risquent actuellement de voir leurs informations d'identification vendues au plus offrant.
Pour tirer le maximum de valeur de l'analyse de ces brèches, les chercheurs d'Imperva ont extrait chaque brèche initiale, la cible de chaque brèche, le système qui a été compromis par la brèche et quels enregistrements ont été volés dans la brèche. Il est important de comprendre qu'en raison de leur nature sensible, les failles de sécurité des bases de données ne sont souvent pas signalées. De plus, dans de nombreux cas, il n'y a pas assez de données disponibles pour fournir un rapport complet. Les chercheurs d'Imperva ont rassemblé des données à partir de toutes les sources d'information disponibles : le Web, les rapports de brèches, les forums de pirates, l'analyse des vidages de bases de données volées et les informations recueillies lors du déploiement de pièges à mauvais acteurs et des honeypots.
Un certain nombre d'autres tendances inquiétantes ont également été révélées dans cette étude, l'une des plus significatives étant que les failles de sécurité semblent être en hausse depuis 2017. On constate une augmentation de 30 % des failles de sécurité d'une année sur l'autre depuis cette date, pour une augmentation totale de 130 % en seulement quatre ans. C'est plus du double, et si les failles de sécurité continuent d'augmenter à ce rythme, alors cela indique qu'un certain nombre de problèmes vraiment importants pourraient finir par se produire en ligne, ce qui donnerait un pouvoir disproportionné à divers acteurs malveillants et groupes de piratage.
Si la tendance actuelle se poursuit, on estime que l'année 2021 verra environ 1 500 violations de sécurité et que le nombre total d'enregistrements volés au cours de ces violations pourrait dépasser 40 milliards. Si l'on considère le pourcentage élevé de données contenant des informations personnelles dans chaque violation de sécurité, le nombre de cas où les données d'un utilisateur contiennent des données à caractère personnel pourrait avoisiner les 30 milliards.
Ce rapport a révélé à quel point l'infrastructure actuelle de sécurité en ligne n'est pas viable, et il suffit de dire que des mesures importantes doivent être prises pour que les utilisateurs se sentent vraiment en sécurité lorsqu'ils naviguent sur le Web. Un certain nombre de solutions ont été proposées, notamment éviter de créer des honeypots de données par le biais de serveurs de données centralisés, mais plutôt stocker les identifiants de connexion sur la blockchain, mais en fin de compte, ce ne sont que des théories et des mesures plus concrètes doivent être prises avant de pouvoir progresser à cet égard.
S'il peut être facile de rejeter la faute sur les utilisateurs pour le laxisme des mesures de sécurité qu'ils peuvent prendre, le rapport révèle que 24,1 % des violations de données sont dues à l'exploitation d'une vulnérabilité web, alors que seulement 1,2 % sont dues à des mots de passe faibles. Cela indique que le problème se situe du côté des développeurs, qui doivent colmater les différentes failles existantes, afin d'éviter que la tendance actuelle ne se poursuive et qu’internet ne devienne un endroit très peu sûr pour faire quoi que ce soit.
Protégez vos données personnelles
Le vol généralisé des données à caractère personnel indique clairement que de nombreuses organisations ne mettent pas en place une protection suffisante pour les sécuriser. Cela est dû en partie au fait que les données personnelles sont régulièrement transférées entre les systèmes, les personnes et les fournisseurs pour effectuer des tâches professionnelles courantes. Les réglementations régissant la confidentialité des données devenant de plus en plus strictes, il sera essentiel pour les entreprises de découvrir, d'identifier et de classer les données personnelles dans leur 'ensemble. Ce n'est que lorsque vous saurez où les données personnelles sont hébergées et quelles applications et quels utilisateurs y accèdent que vous pourrez étendre les contrôles de sécurité qui les protègent. Les données suggèrent que les informations relatives aux cartes de crédit sont l'ensemble de données le plus vigoureusement protégé, et le plus intensément recherché, car elles sont est très demandées sur le dark web.
Source : Imperva
Et vous ?
Que pensez-vous des résultats de cette recherche ? Sont-ils pertinents selon vous ?
Voir aussi :
Facebook en tête de liste du palmarès des pertes de données, d'après une analyse de la société Intact Software
Les incidents de sécurité touchent plus de la moitié des entreprises qui stockent des données dans le cloud, d'après un nouveau rapport de Netwrix
Des pirates informatiques ont divulgué en ligne des données volées sur le vaccin covid-19 de Pfizer, a annoncé l'Agence européenne des médicaments
2021 sera l'année du "ransomware 2.0", avec des attaques de plus en plus agressives, une ingénierie sociale plus professionnelle et des malwares plus innovants, selon G DATA CyberDefense
533 millions de numéros de téléphone et de données personnelles d'utilisateurs de Facebook ont été divulgués en ligne, 20*millions appartiennent à des utilisateurs en France
Partager