Baromètre Data Breach 2022

Fuite de données : comment y faire face ?

Les violations de données personnelles, notifiées à la Commission nationale de l'informatique et des libertés (CNIL) et publiées en open data, représentent une source d’enseignements précieux pour tous les organismes traitant des données personnelles.

Comment se protéger efficacement contre les fuites de données ? Le Baromètre Data Breach 2022, animé par le Forum international de la cybersécurité (FIC) en partenariat avec PwC et Bessé - et avec la participation de la CNIL, livre une analyse globale des tendances en fuites de données en 2021 et des recommandations.

Téléchargez le Baromètre

Fuite des données : l’analyse des tendances 2021

L’exploitation des données 2021 publiées par la CNIL en matière de notifications de violation de données à caractère personnel révèle une forte augmentation du nombre de notifications enregistrées (+75%) entre 2020 et 2021. Ce n’est pas tant le nombre de notifications annoncées (5 000) qui surprend que le nombre moyen de notifications par jour ouvré (20).

Une analyse de ces données consultables sur le site de la CNIL (« notifications à la CNIL de violations de données à caractère personnel » – 31 mars 2022) permet de donner du relief à cet indicateur. Ainsi sur 5 000 notifications, 620 d’entre elles affecteraient les données personnelles de plus de 5 000 personnes.

Sur ces 5 000 notifications, 3 200 sont classées comme relevant d’actes externes dont 2 981 de nature malveillante. Pas moins de 925 fuites proviendraient d’actes internes dont 200 malveillants. Si la cybercriminalité est à l’origine de la majorité des fuites de données. La proportion des actes accidentels et des actes d’origine interne n’en demeure pas moins une cause à ne pas négliger.

Fuite de données : comment les éviter ?

Au cours de l’année, PwC a mené des investigations sur plusieurs dizaines d’incidents directement liés à des fuites de données et effectué des activités de cyber threat intelligence (reconnaissance, surveillance Deep et Dark web) qui ont permis d’identifier les quatre principaux facteurs à l’origine de ces incidents ainsi que des pistes d’actions concrètes pour s’en prémunir.

Vulnérabilités

L’une des principales causes des fuites de données est l’exploitation d’une faille de sécurité du système d’information ou d’un élément du réseau informatique d’une entreprise par un groupe malveillant. 

Recommandation : identifiez tous vos systèmes exposés sur Internet et vérifiez en priorité l’existence de vulnérabilités les plus critiques sur ces actifs. Le cas échéant, installez rapidement les correctifs afin de réduire la fenêtre d’exposition et en parallèle, menez une levée de doute sur ces systèmes.

Menace interne

La fuite ou la perte de données due à la malveillance ou à la négligence d’un employé peut avoir de sérieuses conséquences. Ces attaques sont particulièrement difficiles à identifier, et les enquêtes n’obtiennent que rarement de résultat.

Recommandation : portez l’effort sur la classification, le stockage et la gestion des accès à ces données. Une vigilance toute particulière doit être portée sur les accès temporaires aux systèmes qui hébergent les données sensibles.

Faiblesse de configuration

Les erreurs de configuration telles qu’une base de données non protégée ou un faible mot de passe provoquent souvent des fuites de données massives. En 2021, PwC a investigué plusieurs incidents provoqués par une faiblesse de configuration de bases de données entraînant la divulgation de données de santé ou d’informations sur des transactions financières.

Recommandation : configurez votre base de données avec attention en mettant en place toutes les mesures de sécurité nécessaires. En parallèle, menez des activités régulières de découverte de votre exposition externe.

Tierces parties

Une entreprise doit se protéger au niveau interne et externe, mais également s’assurer de la sécurité de ses tiers. 21 % des cyberattaques réussies contre des entreprises en 2021 ont été des attaques dites « par rebond » (via un prestataire, un client ou un fournisseur).

Recommandation : choisissez des mots de passe complexes, modifiez les régulièrement et étendez l’authentification multifacteur dans la mesure du possible.

Menace cyber : les principales actions juridiques à mettre en oeuvre

La cybercriminalité s’est professionnalisée. Organisée, protéiforme et souvent internationale, la menace cyber expose les organisations publiques et privées à des violations de données personnelles. Face à la complexité de ces menaces cyber, la prévention des risques doit s’appréhender de façon pluridisciplinaire et passe par l’anticipation. Dans ce contexte, la planification d’actions juridiques complète le dispositif des mesures techniques et organisationnelles. 

L’ensemble des mesures présentées dans le Baromètre Data Breach 2022 met en lumière les différents axes de définition d’une véritable stratégie juridique d’entreprise comme moyen contributif de prévention des menaces cyber. Cette stratégie juridique, pour être efficace, doit s’articuler autour des objectifs fixés par la politique de l’entreprise en matière de cybersécurité. Une entreprise organisée en silo ne pourra déployer qu’une réponse partielle.

L’assurance : une brique de la cyber-résilience

Toute fuite de données personnelles résulte d’un acte de malveillance ou d’un acte accidentel. Les attaques cyber sont de loin la première cause de cette perte de confidentialité des données.

Face à ce type de risque, il est possible de s’assurer en souscrivant une assurance cyber. L’un des avantages de l’assurance cyber est de proposer une palette de services en cas de sinistre pour accompagner l’entreprise et lui permettre de gérer au mieux cet incident.

Les services proposés incluent une assistance juridique pour toute déclaration à la CNIL, un support en communication et une expertise en mesures d’investigations numériques (Forensic) pour qualifier et mesurer le niveau de compromission du système d’information. Dans l’hypothèse où l’entreprise viendrait à être mise en cause, une police d’assurance cyber prévoit un volet “Responsabilité civile” avec une prise en charge des frais de défense et autres frais de procédure.

Cette assurance cyber apporte une protection face à un risque qui n’est jamais nul et vient compléter la politique de cybersécurité de chaque organisation. 

Suivez-nous !

Contactez-nous

Jamal Basrire

Jamal Basrire

Associé, Leader des activités Cloud Transformation et Cyber, PwC France et Maghreb

Philippe Baumgart

Philippe Baumgart

Associé Cyber intelligence - Evaluation, réponse et anticipation de la menace, PwC France et Maghreb

Masquer