En janvier 2020, 250 millions d’enregistrements Microsoft étaient exposés sur Internet. Peu de temps après, plus de 300 millions d’identifiants Facebook étaient diffusés en ligne. Les violations de données massives semblent faire sans arrêt les gros titres. Rien d’étonnant à cela. Pendant que vous lisiez cet article, des pirates informatiques ont mené à bien 250 attaques réussies.
L’exfiltration de données est un transfert non autorisé d’informations — typiquement, des données sensibles — d’un système à un autre. C’est l’une des formes de cybercriminalité les plus répandues, et un vrai danger pour votre entreprise et vos clients.
Selon le Rapport 2020 du FBI concernant la criminalité sur Internet, une cyberattaque réussit toutes les 1,12 secondes. La cybercriminalité est un marché considérable qui coûte des milliards de dollars aux entreprises chaque année. Les petites entreprises sont les plus vulnérables — elles ont totalisé plus de 50 % des violations de données aux États-Unis en 2020. Du hameçonnage aux logiciels malveillants, des sites louches aux failles sur les réseaux, comprendre comment limiter les risques et les coûts d’une attaque est la clé pour s’en sortir.
E-mail
Certaines violations par e-mail sont accidentelles — c’est ce qui se passe lorsque des salariés envoient des informations sensibles à la mauvaise personne, ou que le destinataire les transfère à un tiers non autorisé. Mais la plupart sont malveillantes. Le hameçonnage consiste à envoyer un message en se faisant passer pour une institution respectable, afin de pousser les destinataires à divulguer des informations sensibles. Généralement, ces e-mails sont génériques ; mais certains sont suffisamment précis pour sembler provenir d’un émetteur fiable. On parle alors de hameçonnage ciblé. Cliquer sur les liens contenus dans de tels messages peut lancer des logiciels malveillants ou des ransomware susceptibles d’infecter un réseau d’entreprise complet, et ainsi de provoquer des fuites considérables de données.
Appareils non sécurisés
Avez-vous déjà copié des information sur une clé USB ou un ordinateur portable ? Vous êtes-vous déjà connecté à un réseau Wi-Fi public ? Chaque fois que vous utilisez un appareil non sécurisé, vous inviter les pirates à voler des informations. Un salarié imprudent peut même leur simplifier la tâche en égarant son téléphone, son ordinateur portable ou une clé USB.
Logiciels ou sites Internet non autorisés
Souvent, c’est en installant des logiciels non autorisés sur un ordinateur d’entreprise que l’on introduit un logiciel malveillant ou un ransomware sur un réseau, risquant ainsi de transmettre des données sensibles à des tiers mal intentionnés. Même chose pour les sites Internet douteux visités depuis un poste de travail professionnel.
La morale est claire : l’exfiltration de données n’est pas seulement le fait d’un tiers malveillant qui tente de voler des informations sensibles. Elle repose sur des vulnérabilités internes.
Même en déployant les efforts de prévention les plus efficaces, vous ne serez jamais complètement à l’abri de l’exfiltration de données. Mais si vous subissez une cyberattaque (et cela arrivera forcément), tous les préparatifs effectués en vue d’en réduire l’impact et de limiter les risques permettront à votre entreprise d’économiser du temps, de l’argent, de préserver sa réputation et ses données.
L’exfiltration de données vise à accéder à une quantité de données considérable, aussi rapidement que possible, sans que personne ne s’en rende compte. Pour en limiter les conséquences néfastes, l’essentiel est de bien comprendre et classifier les risques encourus.
Sans surprise, la gestion des risques commence par une identification de vos facteurs de risques et de votre degré de tolérance à ces risques. La transition vers le cloud et l’adoption du télétravail ont accru de manière exponentielle la vulnérabilité des données. Bien sûr, vos équipes sont plus flexibles, travaillent de manière plus collaborative que jamais. Mais en contrepartie, la quantité de données courant un risque d’exfiltration est plus importante. Sans surprise, la gestion des risques commence par une identification de vos facteurs de risques et de votre degré de tolérance à ces risques.
Où (et quand) êtes-vous le plus vulnérable aux exfiltrations de données ? Lesquelles de ces vulnérabilités sont acceptables ? Car après tout, les informations vulnérables ne sont pas forcément les plus précieuses. Vérifiez qui a accès à quelles données, et où ces dernières sont stockées. Une fois que vous aurez identifié les vulnérabilités inacceptables, l’étape suivante consistera à établir des règles de gouvernance permettant d’y répondre. Une fois ces règles élaborées, il importe tout autant de les diffuser et de former votre personnel à leur application. Impliquez les RH, le service juridique, le département de la communication et tous les autres services autres qu’informatique afin de sensibiliser chacun aux risques. Dernière question, mais pas des moindres : comment répondre aux menaces et y remédier ?
La cybercriminalité a le vent en poupe. Les implications en termes d’exfiltration de données sont catastrophiques. Si la prévention est votre première ligne de défense contre les pirates, il reste important de prévoir un plan de détection et de restauration au cas où l’impensable se produirait. Car il se produira. Des règles de gestion des risques et de gouvernance de données efficaces répondent à trois questions : quelles sont les données les plus vulnérables ? Quelles sont les vulnérabilités les plus graves ? Comment y répondre au mieux ? Rubrik peut vous aider à éviter les risques juridiques, financiers et réputationnels engendrés par les exfiltrations de données, à travers des solutions qui identifient rapidement les données chiffrées, l’endroit où elles se trouvent et leur niveau de sensibilité — toutes informations nécessaires pour prendre les décisions qui s’imposent en vue d’une reprise rapide.
Sources :
Rapport du FBI concernant la cybercriminalité sur Internet
Statistiques 2021 de Comparitech sur la cybercriminalité
Rapport 2021 de Verizon concernant les enquêtes portant sur des violations de données