Peut-on éviter les violations de données ?
« Les violations de données les plus dangereuses sont celles dont vous n’êtes pas au courant » – Frank Abagnale.
Selon l’Institut Ponemon (Cost of a data breach report 2023), il faut en moyenne neuf mois pour identifier et contenir une violation de données. Dans le monde moderne, les cybercriminels utilisent des techniques sophistiquées qui rendent la détection d’une violation de données difficile.
Quelles sont les principales causes des violations de données ?
Il est évident que c’est l’attaquant qui est à blâmer. Cependant, il est essentiel que les entreprises prennent les mesures nécessaires pour éviter de telles attaques. Voici quelques causes des violations de données :
> Des identifiants faibles : Utilisez-vous toujours le même mot de passe pour tous vos comptes ? Un mot de passe écrit sur un post-it ? Les mots de passe sont la clé pour protéger vos données et les cybercriminels s’appuient sur des logiciels pour décrypter même les mots de passe les plus complexes.
> Vulnérabilités en matière de sécurité : Pour mener une attaque, les hackers recherchent une vulnérabilité à exploiter.
> Erreur interne : Une simple erreur humaine peut parfois conduire à une violation de données mettant en péril la sécurité d’une entreprise. Exemples : la perte d’un appareil, la communication de données confidentielles à un tiers que l’on croit digne de confiance, l’envoi d’un document corrompu, etc.
> Malveillance interne : Au-delà de l’erreur humaine, il arrive parfois qu’un collaborateur commette un vol de données pour différentes raisons – l’envoi par des concurrents, un acte de délinquance, etc.
Quelles sont les conséquences des violations de données ?
Lorsqu’une violation de données se produit, qu’elle soit due à une simple erreur ou à un acte malveillant, les entreprises doivent faire face aux conséquences, telles que :
> Atteinte à la réputation.
> Action en justice : Les entreprises sont censées protéger les données de leurs clients. Si la protection n’est pas assurée, une action en justice peut être engagée. Par exemple, la société British Airways a dû payer une amende de 20 millions de livres sterling après avoir été victime d’une violation de données. La compagnie a été accusée de ne pas avoir mis en place les mesures de sécurité adéquates pour gérer les informations personnelles de ses clients.
> Pertes financières : En 2023, le coût des violations de données est estimé à 4,45 millions de dollars, selon l’Institut Ponemon
L'attaque 3CX : Une double attaque de la chaîne logistique
La violation de données de 3CX est un incident rare (si ce n’est le premier) dans lequel des hackers ont utilisé une attaque de la chaîne d’approvisionnement pour en lancer une autre avec succès. Comment cela s’est-il produit ?
3CX a annoncé que diverses versions de l’application VoIP avaient été compromises le 30 mars. Après enquête, il a été découvert que l’attaque avait commencé en 2021 lorsque des hackers ont infecté un logiciel de Trading Technologies avec un code malveillant. En 2022, un collaborateur de 3CX a téléchargé le logiciel infecté sur son ordinateur personnel, ce qui a permis aux hackers d’accéder aux identifiants professionnels du collaborateur. À partir de là, le réseau 3CX a été accessible via un VPN, ce qui a permis un mouvement latéral et l’introduction d’un code infectieux dans l’application VoIP et sur le site web de 3CX.
Les utilisateurs qui ont téléchargé l’application infectée peuvent avoir donné aux hackers l’accès à leurs informations sensibles telles que le numéro de téléphone, l’adresse électronique et les informations relatives aux cartes de crédit.
La violation de données Google Fi/T-Mobile
Google Fi est un réseau mobile virtuel qui fonctionne sur l’infrastructure de réseau physique de ses partenaires tels que T-Mobile et U.S. Cellular.
En janvier 2023, T-Mobile a subi une violation de données qui a affecté 37 millions de clients et le vol de leurs informations de compte. Les attaquants ont également pu accéder aux données des clients de Google Fi : le numéro de téléphone, le numéro de carte SIM, la date d’activation, l’état du compte et le forfait choisi. On soupçonne que l’attaque dure au moins depuis novembre 2022. Cependant, Google Fi n’a pas communiqué sur le nombre de clients impactés.
En possession de ces informations, les hackers ont procédé à des échanges de cartes SIM ciblant les clients de Google Fi. De plus, on s’attend à une augmentation des tentatives d’hameçonnage.
Comment prévenir une violation de données ?
Les deux violations de données mentionnées ci-dessus servent d’exemple pour illustrer l’importance de la sécurisation des données critiques. Il est évident que ces données doivent être régulièrement consultées par les collaborateurs internes de l’entreprise et par des tiers dans le cadre de l’activité de l’entreprise. Ce qui nous amène au paradoxe de la sécurité :
Comment créer une barrière invincible tout en permettant l’accès aux collaborateurs internes et aux tiers ? En d’autres termes, comment donner un accès à certains utilisateurs et pas à d’autres ?
Cela n’est possible qu’en appliquant une approche Zero Trust et voici comment :
> La rupture de protocole : une architecture Zero Trust équipée d’une technologie de rupture de protocole permet de réécrire le protocole et de contrôler les flux. Elle agit comme l’auditeur du port qui décharge un navire et s’assure que toutes les marchandises sont sûres et sécurisées avant de les mettre dans un camion.
> L’accès web sans client : Contrairement à l’accès basé sur le client, l’accès sans client permet aux utilisateurs d’utiliser leurs ressources sans avoir à installer de client sur leurs appareils. Le contrôle peut alors être centralisé, ce qui impose des mises à jour régulières et permet une meilleure gestion des correctifs.
> L’utilisation de la virtualisation : La virtualisation joue également un rôle dans le renforcement de la barrière. Une application virtualisée est affichée sur l’appareil de l’utilisateur tout en étant exécutée sur un appareil distant (dans un centre de données par exemple).
Interface HTML5
C’est ici que l’interface HTML5 devient intéressante ! Elle permet de regrouper les technologies énumérées ci-dessus tout en donnant accès aux ressources via n’importe quel navigateur. En outre, seules les images sont communiquées à l’utilisateur, tandis que seuls les flux du clavier et de la souris sont autorisés à être transmis par l’utilisateur. Par conséquent,
> Vous vous assurez qu’aucune infection ne peut être transmise au réseau de l’organisation.
> Vous limitez les interactions avec le poste de travail de l’utilisateur.
Vous pouvez ajouter une couche de sécurité supplémentaire en intégrant l’UBA (User Behavior Analytics) pour vérifier en permanence l’identité de l’utilisateur. Comme on l’a vu dans le cas de la violation de données de Goole Fi, des hackers ont pu avoir accès aux numéros de série des cartes SIM et ont lancé des attaques par échange de cartes SIM. Dans ce cas, l’analyse du comportement de l’utilisateur revêt une grande importance pour mettre fin à ces attaques.
Dans l’incident de 3CX, le hacker a pu utiliser les identifiants d’un collaborateur pour se déplacer au sein du réseau et poursuivre une autre attaque. Cet incident aurait pu être évité grâce à l’UBA et aux fonctions de gestion des privilèges telles que les workflows just-in-time.
Avec l'augmentation des violations de données, il n'y a pas de héros, il n'y a que des victimes !
Par la suite, le coût d’une violation de données peut être énorme, d’autant plus que les hackers utilisent de nouvelles techniques sophistiquées. Comme nous l’avons vu, les doubles attaques ont commencé à être utilisées et on s’attend à ce qu’elles se multiplient dans les mois à venir.
Si l’on ajoute à cela le fait qu’une violation de données est rarement découverte avant qu’il ne soit trop tard, on comprend pourquoi il est plus important que jamais d’adopter une approche Zero Trust.