Sécurité IT : l’externalisation, vectrice de fuites de données

Sécurité

Un rapport de Gemalto corrèle la prise d’ampleur des fuites de données à la protection défaillante des ressources que les organisations externalisent.

Un compartiment Amazon S3, un back-office SaaS, un serveur rsync… Autant de ressources externalisées qui, mal configurées, ont été, en 2017, les vecteurs de fuites de données majeures.

C’est le constat établi par Gemalto  dans un rapport fondé sur les informations collectées tout au long de l’année dans le cadre du projet Breach Level Index lancé en 2013 par IT-Harvest (société de conseil) et SafeNet (fournisseur de solutions de protection des données et des identités) qui évolue aujourd’hui dans le giron de Gemalto.

Permettant aux organisations de « simuler » des incidents de sécurité et d’en estimer le niveau de sévérité, il rassemble aussi des éléments sur les incidents « réels » et rendu publics.

Sur cette base, Gemalto a recensé 1 765 fuites de données en 2017. Dans l’absolu, c’est moins qu’en 2016 (- 11 %) et qu’en 2015. Sauf que leur ampleur est sans précédent : 2,6 milliards de fichiers et dossiers ont été touchés, soit près de deux fois plus que l’an dernier.

River City Media pèse lourd dans la balance. La firme spécialiste de l’e-mail marketing a mal protégé un backup, laissant 1,34 milliard d’adresses électroniques en accès libre sur Internet.

Gemalto classe de telles erreurs de configuration dans la catégorie des « pertes accidentelles » de données. Elle ne représente que 26 % des incidents… mais 76 % du volume de données affectées.

Les valeurs s’inversent pour les attaques émanant de tiers externes à l’organisation : 72 % des incidents pour 23 % des données.

L’iceberg des fuites de données

Des données financières ont filtré dans 274 cas (15 % des incidents) ; des données de connexion, dans 122 cas (7 %).

Plus de deux tiers des incidents ont impliqué des informations d’identité, à commencer par des noms, jusqu’à des numéros de sécurité sociale. L’attaque contre Equifax en fait partie. L’agence américaine d’évaluation de crédit s’est fait voler les données personnelles de près de 148 millions d’individus à partir d’une faille dans son site Web.

Gemalto reconnaît que son rapport ne permet de percevoir que la partie émergée de l’iceberg… elle-même sujette à des incertitudes : dans plus de la moitié des incidents, il a été impossible de déterminer précisément le volume de données ayant filtré.

Le groupe européen considère qu’il disposera probablement de davantage de matière l’an prochain, conséquence de l’obligation de notification qu’introduit le RGPD. Sur l’année 2017, il a recensé, sur le Vieux Continent, 112 fuites de données (- 31 %) englobant 36 millions de données (- 80 %).

À l’échelle mondiale, le secteur de la santé est le plus touché (471 incidents), devant la finance (219), le retail et l’éducation (199 chacun), les gouvernements (130) et les services aux entreprises (92).

Crédit photo : perspec_photo88 via VisualHunt / CC BY-SA

Lire aussi :

Lire la biographie de l´auteur  Masquer la biographie de l´auteur