Le coût moyen d’une fuite de données d’une PME est actuellement de 117 000 $ par incident, selon une vaste étude sur les coûts des atteintes à la protection des données dans les petites et moyennes entreprises.
Ladite étude a été menée par Kaspersky Lab et B2B International, auprès de plus de 5 000 entreprises dans 30 pays.
Le coût moyen a encore augmenté cette année et certains changements notables ont été apportés à la ventilation des coûts par rapport à celle d’une étude similaire réalisée l’année dernière. Il y avait également des différences notables entre les principaux coûts pour les PME et les grandes entreprises.
L’an dernier, la réaffectation du temps du personnel représentait le coût le plus élevé en matière d’atteintes à la protection des données. Pourtant, cette année, les répondants des PME ont indiqué que les coûts les plus élevés étaient liés à la perte d’activités découlant d’une fuite de données et au recours à des experts externes pour faire une enquête et pour résoudre les problèmes qui en découlent.
Sur le coût moyen de 117 000 $ concernant l’fuite de données d’une PME, 21 000 $ ont été dépensés pour le recours à des experts externes et 21 000 $ de plus ont dû être couverts en raison des affaires perdues. Parmi les autres coûts importants, on compte les salaires supplémentaires du personnel (16 000 $) ; les dommages à la cote de crédit et les augmentations des primes d’assurance (11 000 $) ; l’amélioration des logiciels et de l’infrastructure (11 000 $) ; la réparation des dommages aux marques (10 000 $) et l’embauche de nouveaux employés (10 000 $).
Les coûts les plus bas étaient liés à la formation (9 000 $) et à la rémunération (8 000 $).
Kaspersky Lab souligne que si ces coûts sont si élevés, c’est probablement à cause d’un manque de personnel interne qualifié. Autrement dit, les PME n’ont d’autre choix que de faire appel aux professionnels. Par ailleurs, elles sont particulièrement vulnérables à une perte d’activité à la suite d’une fuite de données.
Toutefois, l’étude a montré que les PME ont tendance à ne pas avoir à creuser profondément pour payer la compensation, ce qui a été attribué à des relations commerciales moins formelles.
Le type de fuite de données des PME a également une incidence importante sur les coûts de résolution. Certaines attaques se sont révélées beaucoup plus coûteuses à résoudre.
Le coût moyen d’une fuite de données d’une PME résultant d’une attaque ciblée était de 188 000 $ ; suivi de celui des incidents de sécurité qui ont affecté les dispositifs connectés (IoT), lequel était évalué à 152 000 $ par incident.
Les brèches causées par la perte de dispositifs contenant des renseignements de nature délicate ont coûté en moyenne 83 000 $, contre 79 000 $ pour celles liées à l’utilisation inappropriée des ressources informatiques. Quant aux infections par des virus et des malwares, elles ont été les moins coûteuses à résoudre, pour un coût moyen de 68 000 $.
Pour les entreprises, les coûts moyens des atteintes à la protection des données sont passés de 1,2 million de dollars en 2016 à 1,3 million de dollars en 2017. Les principaux coûts étant attribuables aux salaires supplémentaires du personnel interne (207 000 $) ; aux améliorations des logiciels et des infrastructures (172 000 $) ; aux recours à des professionnels externes (154 000) ; à la formation (153 000 $) à la perte de marchés (148 000 $) et aux indemnités (147 000 $).
Les PME ont augmenté leurs dépenses en sécurité informatique en réponse à la menace accrue d’attaques. Elles ont ainsi consacré 19 % de leur budget pour la sécurité informatique contre 16 % en 2017.
L’augmentation des dépenses de sécurité dans les très petites entreprises (de 1 à 49 employés) a été beaucoup plus faible (1 %), soit de 13 % à 14 % de leurs budgets informatiques. Il n’y a eu aucun changement en ce qui concerne les dépenses des grandes entreprises (plus de 1 000 employés). En réalité, 19 % de leurs budgets informatiques ont été consacrés à la sécurité.
Parlons un instant des fausses nouvelles qui sont à la mode en ce moment (nous n’aborderons pas les questions politiques, bien sûr).
Celles-ci ont été un refrain constant non seulement de la part des médias, des politiciens, des chefs d’entreprise, mais aussi du grand public. Dans la plupart des cas, les fausses nouvelles entraînent deux conséquences négatives :
Quelqu’un bénéficie d’une information distribuée qui est fabriquée dans le seul but de manipuler l’opinion publique pour obtenir un avantage à court terme.
Cela mine la crédibilité des vrais organismes de presse et crée un climat de suspicion pour toutes les nouvelles, au point que les gens ne savent plus lesquelles croire.
L’obsession actuelle à propos des fausses nouvelles a ouvert les yeux de nombreux chefs d’entreprise, agences gouvernementales et professionnels de la cybersécurité.
Aussi précaires qu’elles soient, les fausses données sont beaucoup plus dangereuses et menaçantes pour la société.
Jusqu’à récemment, la cybersécurité était axée sur la prévention de la saisie non autorisée de données lors d’une atteinte à la protection des données telle que l’obtention illégale de renseignements financiers ou personnels.
Mais qu’arrive-t-il si un pirate informatique pirate votre réseau, non pas pour voler vos données, mais pour les manipuler ?
Lorsque vous entendez l’expression « vol de données » ou « violation de données », vous imaginez probablement un scénario dans lequel des pirates s’introduisent dans un système et volent des informations sensibles.
En réalité, l’idée derrière la manipulation des données est assez simple, mais terrifiante. Plutôt que de voler des informations d’une grande importance ou de les retenir en vue de les échanger contre une rançon, entre autres, les pirates informatiques les modifient à distance ou sur place. Selon les motivations des cybercriminels, les propriétaires des informations peuvent ou non être informés de ces modifications.
Le fait alarmant est que, pour une organisation, le sabotage de données est potentiellement aussi dommageable que le vol de données. Elle peut également être très rentable pour les criminels qui l’ont commis.
La fraude est l’une des plus anciennes formes d’attaques contre l’intégrité des données. Elle existe sous de nombreuses variantes qui ne seront pas abordées dans ce dossier. Parmi celles-ci, on peut toutefois citer l’attaque qui s’est produite en 2008 et qui fait la première page de l’actualité mondiale. Il s’agissait d’un abus de confiance combinée à l’utilisation non autorisée et la falsification des systèmes informatiques de la banque Société Générale par un trader qui travaillait au sein même de l’organisation. Cette attaque a entraîné des pertes d’environ 4,9 milliards d’euros.
Voici quelques scénarios possibles :
Les pirates informatiques modifient le rapport trimestriel des résultats d’une entreprise et prennent des mesures avancées sur le cours de ses actions.
Un avion de ligne engage un hacker pour modifier les horaires de vol de ses principaux concurrents afin de nuire à leur image de marque.
Un gouvernement manipule l’infrastructure logicielle du réseau électrique américain.
Lorsqu’il s’agit d’attaque d’intégrité de données, les possibilités de scénarisation sont quasi illimitées et aucune entreprise ou organisation n’en est à l’abri d’une telle menace.
Bon à savoir : il ne faut pas confondre l’intégrité des données avec la sécurité des données. La sécurité des données est synonyme de protection des informations sensibles. Elle se concentre sur la meilleure façon de minimiser le risque de fuite de documents commerciaux, de propriété intellectuelle, de données de santé, d’e-mails professionnels, de secrets commerciaux, etc. Parmi les tactiques utilisées pour la sécurisation des données figurent la gestion des autorisations, la gestion des identités et des accès, la classification des données, l’analyse de la sécurité et la détection des menaces. L’intégrité des données, quant à elle, fait référence à la fiabilité des différentes sortes données susmentionnées.
Prenons l’exemple de la tokenisation : il s’agit d’un procédé consistant à remplacer une donnée sensible par un élément équivalent, mais qui n’aura aucune signification exploitable ou une valeur intrinsèque une fois qu’elle sort du système. La tokenisation et le chiffrement n’assurent pas l’intégrité des données. Ces deux procédés offrent plutôt plus de sécurité, mais lorsqu’elles sont utilisées conjointement avec d’autres techniques comme le hachage, l’horodatage et les signatures numériques, elles rendent la tâche beaucoup plus difficile pour les pirates lorsqu’ils voudront manipuler vos données.
Rien ne vous empêche par exemple de hacher un fichier chiffré. Dans ce cas, le chiffrement assure la sécurité de vos données, tandis que le hachage préserve leur intégrité. De même, des jetons peuvent être utilisés pour assurer la sécurité des informations d’identification personnelle, mais si vous mettez en place de solides mesures de contrôle d’accès, vous pourrez mieux préserver l’intégrité de vos données.
Le défi consiste à équilibrer ces principes. Si vos données sont trop librement accessibles aux employés, l’intégrité des données peut être compromise. D’un autre côté, si la sécurité est trop stricte, elle entravera la disponibilité et rendra les employés moins efficaces et productifs.
Maintenant, la question est de savoir que pouvez-vous faire pour réduire le potentiel d’une attaque d’intégrité des données ?
Dix conseils pour garantir l’intégrité des données
1. Chiffrement
Le moyen le plus efficace d’assurer l’intégrité de vos données est de les chiffrer.
Cela concerne à la fois la transmission des données et les données au repos. Lorsque les données sont chiffrées, elles sont inaccessibles aux personnes non autorisées, de sorte que même si votre silo de données est piraté, vos données seront entièrement protégées.
Vous pouvez faire cela en chiffrant tous vos disques, que ce soit sur un serveur ou un ordinateur portable, et en utilisant un programme de chiffrement tiers pour sécuriser les fichiers et dossiers stockés dans le cloud.
Lorsque vous utilisez le chiffrement, n’oubliez pas que celui-ci est aussi sécurisé que les clés sur lesquelles il est basé. Assurez-vous donc que les clés se trouvent dans un endroit très protégé et qu’elles ne sont pas accessibles à d’autres personnes, hormis celles de la direction informatique.
Les sites web sont l’un des moyens les plus couramment utilisés par les cybercriminels pour avoir accès à vos données importantes avant de porter atteinte à leur intégrité. Les menaces les plus courantes de ce genre sont l’attaque « man-in-the-middle » et l’attaque par repli, une forme de cyberattaque dans laquelle un pirate force un canal de réseau à passer d’un fonctionnement sécurisé de transmission de données à un fonctionnement non protégée ou moins sûre. Pour contre ces attaques, vous devez activer le chiffrement SSL sur votre site web pour pouvoir chiffrer vos communications.
2. Authentification multifactorielle (AMF)
Nous vivons à une époque où la simple authentification par mot de passe ne suffit plus. Les systèmes de sécurité réseau sont constamment bombardés d’attaques d’informations d’identification et les utilisateurs continuent de cliquer sur les liens intégrés et les pièces jointes aux e-mails qui installent des logiciels espions (keyloggers).
Ces menaces perpétuelles — combinées avec le monde mobile dans lequel nous vivons et où les connexions à distance sont devenues la norme — créent de véritables vulnérabilités pour toute entreprise.
Le principe de l’AMF consiste à utiliser plusieurs méthodes ou facteurs qui permettent de prouver l’identité d’une personne sur le web. Contrairement à l’authentification à un seul facteur qui – dans les cas en ligne – utilise la combinaison d’un nom d’utilisateur et d’un mot de passe, l’AMF permet à l’internaute de s’authentifier par le biais de différents moyens qui sont classés en trois catégories, à savoir quelque chose qu’il sait, quelque chose qu’il a et quelque chose qu’il est.
Les données protégées par des mots de passe forts et dont l’accès fait l’objet d’un système d’authentification multifactorielle ont plus de chances de conserver leur intégrité. Cette pratique devrait donc être une exigence essentielle du plan de sécurité de votre entreprise.
3. Technologie de protection des données
Les organisations et les fournisseurs mettent davantage l’accent sur les technologies de protection des données.
Ces solutions aident à arrêter les fuites de données en limitant ce que les utilisateurs peuvent faire avec les fichiers de données désignés. Il s’agit par exemple d’empêcher le transfert d’e-mails contenant des pièces jointes et de restreindre les applications pouvant interagir avec les fichiers de données.
Quelques exemples incluent Windows Information Protection de Microsoft et Azure Rights Management.
4. Systèmes de communication sécurisés
Pour de nombreuses raisons, le travail à distance est rapidement devenu un mode de fonctionnement populaire pour les entreprises. Par conséquent, les employés distants sont contraints d’accéder aux données sensibles de leur entreprise dans des environnements externes et communiquer avec leurs collègues et clients. En fait, cette pratique s’accompagne de problèmes de sécurité et implique la nécessité de prévenir les fuites et les tentatives de manipulations de données.
Si vous devez communiquer avec vos collaborateurs, fournisseurs, clients, etc., faites-le sur une plateforme sécurisée. Une plateforme de messagerie électronique sécurisée (comme SpamTitan) peut par exemple garantir que la communication reste confidentielle entre les parties prévues. Cela réduit le risque d’atteinte à l’intégrité des données et protège votre service de messagerie électronique contre les attaques de phishing, de malwares et de ransomwares.
5. Enregistrement et sauvegarde des fichiers et données
Les équipes informatiques doivent activer la journalisation des activités pour tous les lecteurs qui hébergent des fichiers de données.
Les activités désignées comprennent toutes les personnes ayant accédé à un fichier, avec ou sans succès, car une multitude de tentatives d’accès ratées par un seul utilisateur pourrait être un indice d’intentions malveillantes.
Le simple fait d’activer la journalisation est toutefois inutile si vous ne les révisez pas périodiquement.
Sauvegardez et enregistrez vos données importantes, y compris les métadonnées, selon un calendrier prédéfini et dans un endroit sécurisé. Vérifiez la possibilité et la facilité de récupération de toutes les données lors des audits internes. Les données contenues dans vos archives électroniques doivent être validées, sécurisées et contrôlées tout au long de leur cycle de vie.
Vous devez mettre un point d’honneur sur la gestion de vos documents numériques, car c’est le meilleur moyen de retrouver la trace de toutes vos données et d’éliminer tout risque de perte, de manipulation ou de destruction. Les informations archivées doivent également être traitées avec la plus grande attention, conformément aux réglementations en vigueur. Chaque fichier doit par exemple être fragmenté et stocké plusieurs fois sur différents type de supports. Il importe de faire des copies de vos archives dans des unités de stockage différentes pour garantir l’intégrité des informations. Ainsi, si un souci d’intégrité des données contenues dans une des archive est détectée, celles-ci pourront être récupérées via un algorithme spécifique qui utilisent les autres copies.
En fin de compte, l’archivage sécurisé est crucial pour protéger les informations internes de votre entreprise et celles des clients qui vous confient leurs données à caractère personnel. Il garantit l’intégrité des données et vise à maintenir leur recevabilité juridique en cas de besoin.
6. Mise en application du principe du moindre privilège
Le principe du moindre privilège est simple. Par exemple, si un employé dont le travail consiste à saisir des informations dans votre base de données n’a besoin que d’ajouter de nouveaux enregistrements à cette base de données, grâce à ce concept, vous pouvez l’autoriser à le faire. Par la suite, si un logiciel malveillant parvenait à infecter l’ordinateur de cet employé – ou s’il clique sur un lien dans un e-mail de phishing, l’attaque malveillante se limitera à la saisie d’informations dans la base de données. Par contre, s’il dispose de plus grandes privilèges d’accès, l’infection pourrait se propager à l’ensemble de votre réseau. Ce principe peu être appliqué à tous les niveaux d’un système et des processus ; aux réseaux ; aux applications ; aux bases de données ; etc.
Sachez que les comptes privilégiés sont les clés du royaume, des clés que tout hacker veut obtenir. Les étapes simples comprennent le refus de l’accès administrateur pour les utilisateurs généraux.
En outre, les comptes à privilèges élevés tels que les administrateurs d’entreprise devraient rarement, voire jamais, se connecter à un périphérique en tant que compte à privilèges.
Au lieu de cela, ils doivent se connecter en tant qu’utilisateurs avec un minimum de droits et insérer leurs identifiants de privilège lorsqu’on leur demande d’exécuter une tâche qui le nécessite.
7. Gestion des identités des comptes à privilèges
De nombreux périphériques d’infrastructure réseau tels que les routeurs et les commutateurs utilisent des comptes administrateurs partagés, ce qui rend pratiquement impossible d’identifier quel utilisateur a accédé à un périphérique et à quel le moment.
La gestion des identités des comptes à privilèges est un système qui permet de savoir quand un utilisateur se connecte à un appareil en tant que compte partagé.
Ceci permet de garantir que vous avez une visibilité sur toutes les actions des employés et aux individus qui accèdent à vos données importantes. Le rôle du gestionnaire de session est de fournir à vos équipes de sécurité des pistes d’audit inaltérables pouvant non seulement être examinées en cas de suspicion de violation des données, ce qui permet également de simplifier la mise en conformité avec les réglementations.
Lorsque vous choisissez un outil de gestion de session, assurez-vous que celui-ci est robuste. Il doit empêcher les utilisateurs privilégiés d’effectuer des actions interdites, de créer des alertes ou de fermer l’accès si nécessaire, plutôt que de permettre tout simplement la création d’une piste d’audit.
8. Sécurisation des systèmes SCADA
Nous connaissons tous le danger de l’usurpation d’identité ou de la fraude, notamment lorsque des dossiers bancaires, médicaux ou autres dossiers personnels tombent entre de mauvaises mains. Récemment, les cybercriminelles se sont également tournés vers les systèmes SCADA.
Les systèmes SCADA ont évolué et mettent désormais l’accent sur la disponibilité et l’intégrité des données. La confidentialité n’était pas un problème, notamment parce que les contrôles pouvaient être réalisés dans des systèmes fermés à partir d’une salle de contrôle centrale, mais la commodité des clés USB a facilité le transfert de données vers et depuis ces systèmes. Les entreprises ne se sont guère préoccupées de ce qui pouvait être introduit par inadvertance ou modifié par malveillance dans leur réseau. A cela s’ajoute le développement d’Internet et l’apparition des réseaux d’entreprise ; l’accès à distance ainsi que le partage des informations sur les processus via des réseaux étendus. Par conséquent, les systèmes SCADA ne sont plus isolés et sont soumis aux mêmes menaces que les systèmes d’exploitation comme Microsoft Windows, Linux ou Unix.
Dans le monde entier, de nombreuses attaques réussies contre les systèmes SCADA ont été recensées. En Australie, lors d’une attaque du système SCADA du réseau d’eau de Maroochy, des pirates informatiques ont par exemple réussi à interrompre le traitement des eaux usées pendant deux mois. En 2003, deux pirates informatiques ont également pu accéder à la technologie de contrôle de la base de recherche polaire d’Amundsen-Scott en Antarctique ; une infrastructure du gouvernement américain qui exploite une technologie de maintien en vie pour les scientifiques.
9. Contrôle de l’intégrité des données
La réduction de la probabilité d’apparition et de l’impact d’une atteinte à l’intégrité des données est possible grâce à l’intégration de contrôles rigoureux qui visent à détecter les changements inattendus des informations critiques, ainsi qu’à une capacité de restauration des archives qui résistent aux manipulations.
Des recherches récentes ont montré que la détection des attaques cybercriminelles peut prendre du temps, allant de quelques jours à quelques mois. L’absence de contrôles d’intégrité des données ne fait que prolonger ces délais. Parfois, les pirates informatiques se contentent de placer des bogues et d’attendre pendant des années jusqu’à ce qu’ils trouvent le moment idéal pour attaquer.
Au cas où une attaque serait détectée, la victime doit relever le défi d’identifier rapidement et exactement ce qui a été modifié, et quand. Là encore, on insiste sur l’importance d’une sauvegarde complète de vos données, sinon, vous devrez les reconstituer à partir d’autres sources multiples, et ce processus peut être long et coûteux.
10. Éducation, éducation, éducation, éducation
L’outil de sécurité le plus important que vous puissiez mettre en œuvre est peut-être la formation continue de vos utilisateurs.
Prenez le temps d’expliquer à vos collaborateurs combien il est important de protéger les données personnelles et celles de l’entreprise et comment les politiques de l’entreprise permettent d’y parvenir.
Les ransomwares continueront de dominer le paysage de la sécurité. Cependant, nous nous attendons également à une augmentation du niveau d’attaques d’intégrité des données et de l’utilisation de l’intelligence artificielle par les cybercriminels.
Le sabotage des données, la prochaine grande menace informatique, deviendra une réalité en 2017. Attendez-vous donc à voir plus d’exemples d’organisations, de gouvernements ou d’individus réagissant à de fausses nouvelles comme si elles étaient vraies.
Pour résumer…
Il est difficile de donner une définition exacte au terme « intégrité des données », car il n’a pas la même signification pour tout le monde. Ceci peut impliquer des erreurs de communication et des malentendus, avec le risque que les mesures prises pour sécuriser vos informations sensibles ne soient pas suffisamment bien réalisées en raison de responsabilités peu claires. En réalité, l’intégrité des données est synonyme de l’assurance que les données importantes ne peuvent être consultées ou modifiées que par les personnes qui sont autorisées à le faire. L’objectif des attaques contre l’intégrité des données est donc de compromettre cette garantie et d’obtenir un accès non autorisé afin de pouvoir modifier la fiabilité ainsi que l’exactitude des informations.
Les entreprises ont pour responsabilité de mettre en œuvre un programme d’assurance de l’intégrité des données qui porte sur la détection, la prévention, la dissuasion, la préparation, la réponse et la récupération en cas de besoin. Ce sont ces petites mesures qui permettront à votre organisation de marcher sur la bonne voie et de rester intacte face aux nombreuses menaces en ligne.
Vous êtes un professionnel de l’informatique et vous voulez vous assurer que vos données et appareils sensibles soient protégés ? Parlez à l’un de nos spécialistes ou envoyez-nous un e-mail à info@titanhq.fr pour toute autre question.
FAQs
Comment le chiffrement peut-il être utilisé pour protéger les données ?
Le chiffrement peut aider les entreprises à protéger les données qu’elles envoient, reçoivent et stockent à l’aide d’un appareil. Le chiffrement est le processus consistant à brouiller le texte lisible afin qu’il ne puisse être lu que par la personne possédant le code secret, ou la clé de déchiffrement. Le but est d’assurer la sécurité et l’intégrité des données, notamment les informations sensibles.
Pourquoi l’authentification multifactorielle est-elle si importante ?
L’authentification multifactorielle est utilisée pour garantir que les utilisateurs sont bien ceux qu’ils prétendent être, en exigeant qu’ils fournissent au moins deux éléments de preuve afin de prouver leur identité. Chaque élément de preuve doit provenir d’une catégorie différente, soit quelque chose qu’ils ont, soit quelque chose qu’ils savent ou quelque chose qu’ils sont. Selon Google, L’authentification multifactorielle empêche plus de 76 % des attaques ciblées et plus de 96 % des tentatives de phishing.
Pouvez-vous donner quelques exemples de technologies de protection des données ?
Outre le chiffrement, vous peut aussi utiliser la tokenisation, un processus consistant à remplacer un élément de données sensible par un équivalent qui n’a pas de valeur, appelé jeton. Le jeton sert de substitut pendant que les données sensibles sont stockées à un autre endroit. Contrairement au chiffrement, la tokenisation ne peut pas être inversée. Vous pouvez aussi opter pour sécurisation des points finaux et les appareils des utilisateurs finaux qui accèdent aux ressources basées dans le cloud afin de vous assurer qu’ils ne sont pas la cible de pirates. Sinon, vous pouvez utiliser l’authentification et les contrôles d’accès pour garantir que seules les personnes autorisées disposent des droits d’accès et de modification de vos données dans le cloud.
Qu’est-ce que le moindre privilège en termes de cybersécurité ?
Le principe du moindre privilège est un concept permettant de faire en sorte que seuls les utilisateurs, systèmes et processus (réseaux, systèmes et fichiers) prédéfinis aient accès aux ressources qui sont absolument nécessaires à l’exécution des fonctions qui leur sont assignées.
Que doivent contenir les fichiers d’enregistrement des activités des utilisateurs ?
Au minimum, la journalisation des archives doit concerner les informations d’accès des utilisateurs (identifiant, date et heure de connexion/déconnexion, etc.). Dans certains cas, il importe également de conserver les détails des actions réalisées par les utilisateurs, les types de données qu’ils ont consultées et la référence de l’enregistrement concerné.
Une brèche dans les données d’Edmodo a été signalée, qui a touché des dizaines de millions d’utilisateurs de la plateforme éducative, y compris des enseignants, des élèves et des parents.
Sur le site web d’Edmodo, on peut lire : « Grâce à ceux qui nous ont guidés et soutenus au début de notre projet, nous sommes actuellement le premier réseau mondial d’apprentissag, dédié à la mise en relation de tous les apprenants avec les personnes et les ressources dont ils ont besoin pour atteindre leur plein potentiel ».
Edmodo est une plateforme utilisée pour la planification des leçons, les devoirs à la maison et pour accéder aux notes et aux bulletins scolaires. Le but est de soutenir l’apprentissage, en permettant aux enseignants, aux élèves et aux parents d’accéder aux devoirs et aux plans d’apprentissage. Il y a actuellement plus de 78 millions d’utilisateurs enregistrés de la plate-forme.
Le pirate responsable de l’atteinte à la protection des données d’Edmodo affirme avoir volé les identifiants de 77 millions d’utilisateurs. La plate-forme d’éducation en ligne populaire a envoyé un e-mail à ses utilisateurs, confirmant qu’elle a subi une faille de sécurité.
L’e-mail d’Edmodo suite à la fuite de données
Dans un e-mail, la plate-forme a annoncé que « les données sensibles concernant les utilisateurs ont été acquises par un tiers non autorisé. Les mots de passe étaient chiffrés à l’aide d’un algorithme fort et robuste, et la plateforme était contrainte d’ajouter une couche supplémentaire de sécurité. Nous recommandons fortement les utilisateurs de réinitialiser leurs mots de passe dès que possible. Bien que le risque de chiffrement des mots de passe soit relativement faible (à moins que vous n’ayez utilisé un mot de passe particulièrement mauvais), nous recommandons également aux utilisateurs de changer les mots de passe qu’ils utilisent sur d’autres sites, au cas où ils commettraient l’erreur classique de réutiliser le même mot de passe. »
Bien entendu, aucune organisation n’aime annoncer une telle nouvelle, à savoir qu’elle a perdu des données concernant ses utilisateurs.
Du moment que les mots de passe sont tombés entre les mains des personnes aux intentions malveillantes, que ce soit en ligne ou non, c’est toujours une mauvaise nouvelle, car les fraudeurs peuvent maintenant exploiter la brèche et envoyer des e-mails de phishing ou lancer d’autres arnaques aux utilisateurs d’Edmodo.
Au moment d’écrire ces lignes, je n’ai trouvé aucune mention de la brèche de sécurité sur le compte Twitter d’Edmodo ou sur son site web. Ce n’est certainement pas une note de passage à mes yeux.
La demande a été partiellement vérifiée par Motherboard, qui a reçu un échantillon de 2 millions d’enregistrements qui ont été utilisés à des fins de vérification. Bien que l’ensemble des 77 millions d’enregistrements n’ait pas été vérifié, il semblerait que la demande soit authentique.
Quels détails ont été piratés ?
Il s’agit d’un cas classique de piratage informatique qui tente d’obtenir des informations sensibles en vue de les exploiter sur le dark web pour un profit important. 11,7 Go de données volées, incluant :
Des noms d’utilisateur,
Des adresses e-mail,
Des mots de passe hachés.
Le darkweb est essentiellement une plateforme de vente en ligne utilisée par les pirates informatiques, où ils vendent des informations privées et confidentielles dans le but d’extorquer de l’argent ou d’accéder à d’autres informations privées.
Le pirate, nclay, a listé les données à vendre sur le marché darknet Hansa et a demandé à être payé 900 euros pour la liste complète. Les données comprennent les noms d’utilisateur, les mots de passe hachés et les adresses e-mail. Les adresses e-mail d’environ 40 millions d’utilisateurs auraient été obtenues par le pirate.
Les mots de passe ont été chiffrés à l’aide de l’algorithme bcrypt. Bien qu’il soit possible que les mots de passe puissent être décryptés, le processus serait long et difficile. Les utilisateurs d’Edmodo ont donc eu un peu de temps pour réinitialiser leurs mots de passe et sécuriser leurs comptes.
L’atteinte à la protection des données d’Edmodo fait actuellement l’objet d’une enquête et des experts en cybersécurité ont été engagés par des tiers pour effectuer une analyse complète afin de déterminer comment l’accès à son système a été obtenu. Tous les utilisateurs de la plate-forme ont reçu un courriel leur demandant de réinitialiser leur mot de passe.
Edmodo a reconnu la brèche
Edmodo a déclaré : « Nous avons immédiatement commencé à enquêter sur la façon dont cet incident s’est produit. Nous avons fait appel aux services d’experts externes en matière de cybercriminalités et nous avons signalé l’incident aux services de police. »
L’entreprise a souligné le fait que leurs mots de passe ont été « hachés », ce qui les rend plus difficiles à déchiffrer. Elle a également rapporté avoir trouvé des preuves sur le dark web que les données confidentielles obtenues par les pirates suite à cette attaque étaient vendues illégalement. Elle a trouvé un utilisateur anonyme qui vendait l’accès à la base de données pour plus de 1000 euros.
Edmodo n’a sans doute pas réussi à protéger les droits de protection des données de ses utilisateurs. Ce qui est encore plus inquiétant, c’est la plupart d’entre eux sont des enfants.
Même si l’accès aux comptes ne peut être obtenu, 40 millions d’adresses électroniques seraient précieuses pour les spammeurs. Les utilisateurs de la plate-forme sont susceptibles d’être confrontés à un risque élevé de phishing et d’autres e-mails non sollicités, si nclay trouve un acheteur pour les données volées.
Ce n’est pas la seule atteinte à la protection des données à grande échelle qui touche le secteur de l’éducation cette année. Schoolzilla, un service d’entreposage de données pour les écoles de la maternelle à la 12e année, a également été victime d’une importante cyberattaque cette année.
La fuite de données a été découverte en avril 2017 et on croit qu’elle a entraîné le vol de 1,3 million de données d’étudiants. Dans le cas de Schoolzilla, le pirate a profité d’une erreur de configuration du fichier de sauvegarde.
Cette affaire est toujours en cours et elle fait l’objet d’une enquête par les forces de l’ordre.
Lorsque vous songez au montant à investir dans les moyens de défense en matière de cybersécurité, n’oubliez pas de tenir compte du coût d’une atteinte à la protection des données pour les supermarchés.
De mauvaises pratiques de sécurité et l’absence de moyens de défense appropriés en matière de cybersécurité peuvent coûter cher à une entreprise.
Une fuite de données de l’ampleur de celle subie par Home Depot en 2014 coûtera des centaines de millions de dollars à résoudre. La fuite de données du dépôt d’origine a été massive. Il s’agit de la plus importante atteinte à la protection des données au détail concernant un système de point de vente qui a été signalée à ce jour.
Des logiciels malveillants avaient été installés qui permettaient aux criminels de voler plus de 50 millions de numéros de cartes de crédit aux clients des dépôts à domicile et environ 53 millions d’adresses électroniques.
L’attaque a été rendue possible grâce à l’utilisation de justificatifs d’identité volés à l’un des vendeurs du détaillant. Ces lettres de créance ont été utilisées pour prendre pied dans le réseau. Ces privilèges ont par la suite été augmentés, le réseau Home Depot a été exploré et, lorsque l’accès au système de PDV a été obtenu, des logiciels malveillants ont été installés pour saisir les détails des cartes de crédit. L’infection malveillante n’a pas été détectée pendant cinq mois entre avril et septembre 2014.
L’an dernier, Home Depot a accepté de verser 19,5 millions de dollars aux clients qui avaient été touchés par la fuite de données. Le paiement comprenait les coûts de la prestation de services de surveillance du crédit aux victimes d’atteintes à la sécurité du crédit.
Home Depot a également versé au moins 134,5 millions de dollars à des sociétés émettrices de cartes de crédit et à des banques, et cette semaine, un autre règlement de 25 millions de dollars a été convenu pour couvrir les dommages subis par les banques en raison de la violation.
Le dernier montant du règlement permettra aux banques et aux sociétés émettrices de cartes de crédit de présenter des demandes d’indemnisation de 2$ par carte de crédit compromise sans avoir à présenter de preuve des pertes subies.
Si les banques peuvent afficher des pertes, elles recevront jusqu’à 60% des pertes non compensées.
Le coût total de la fuite des données s’élève à environ 179 millions de dollars, bien que ce chiffre ne comprenne pas tous les frais juridiques que Home Depot sera obligé de payer, ni les règlements non divulgués.
Le coût final de l’atteinte à la protection des données au détail sera considérablement plus élevé. Il se rapproche déjà de la barre des 200 millions de dollars.
Ensuite, il y a la perte d’affaires découlant de l’atteinte à la sécurité des renseignements personnels. À la suite d’une atteinte à la protection des données, les clients vont souvent faire affaire ailleurs.
De nombreux consommateurs touchés par la violation ont choisi d’acheter ailleurs. Après tout, il n’y a pas qu’une seule chaîne de magasins de bricolage aux États-Unis.
Un certain nombre d’études ont été menées sur les retombées d’une atteinte à la protection des données. Selon une étude de HyTrust, les entreprises pourraient perdre 51 % de leurs clients à la suite d’une fuite de données sensibles !
Pour Home Depot, le coût d’une atteinte à la protection des données au détail a été beaucoup plus élevé que le coût de la mise en œuvre de technologies pour surveiller les pratiques de cybersécurité de son fournisseur, détecter les logiciels malveillants et mettre en œuvre les meilleures pratiques de sécurité.
