Oups, vous l’avez encore fait : les employés négligents sont la première cause de violation de données

Vous savez juste que la confidentialité des données est devenue un gros problème alors que même Facebook dit qu’il s’oriente vers une approche plus « centrée sur la confidentialité ». Et vous ne connaissez l’état actuel des protections de la vie privée des utilisateurs que lorsque la même entreprise a subi au moins une violation majeure au cours du mois et demi qui s’est écoulé depuis cette déclaration.

Dans le monde moderne, la « violation de données » est devenue une expression que nous voyons presque tous les jours aux actualités. Au moins une fois par semaine, certaines entreprises subissent une infraction grave au cours de laquelle on découvre qu’elles ont fait quelque chose de stupide et que vos données personnelles sont volées en conséquence. Nous avons tous accepté que les entreprises se vendent régulièrement nos informations personnelles, mais on pourrait penser qu’elles les protégeraient au moins contre les violations de données pour protéger leur source de revenus, même si elles ne se soucient pas de la vie privée de leurs clients.

violations de données

Lorsque la plupart des gens pensent à une violation de données, ils pensent à un pirate informatique franchissant les cyberdéfense d’une organisation pour y introduire les données. Mais qu’est-ce qui cause vraiment la majorité des violations de données ? La vérité vous surprendrait probablement (à moins que vous n’ayez raté le titre, en fait).

Qu’est-ce qui est considéré comme une violation de données ?

Avant d’entrer dans les détails des causes des violations de données, il est utile de définir ce qui compte comme une violation de données. Une bonne définition est « la divulgation non autorisée d’informations sensibles ou précieuses par une organisation ».

En décomposant cela, le premier élément est que la divulgation d’informations à l’extérieur de l’entreprise doit être non autorisée. Même si nous préférerions qu’ils ne le soient pas, les entreprises autorisent régulièrement la vente de nos données à des tiers. Bien que cela signifie que nos données vont quelque part sans notre permission, il ne s’agit toujours pas d’une violation de données. Deuxièmement, les informations piratées doivent être sensibles ou précieuses. Bien que la plupart des gros titres sur les violations de données concernent la perte de données clients, ce n’est pas la seule option. L’infraction commise par Sony en 2014 portait principalement sur la propriété intellectuelle (films, etc.), mais compte toujours comme une infraction.

Enfin, une organisation doit avoir été celle qui a perdu les données. Si vous perdez votre téléphone portable avec tous vos contacts, il n’est pas nécessaire de le signaler en vertu du RGPD ou de réglementations similaires sur la confidentialité des données.

Raisons courantes des fuites de données

Maintenant que nous avons défini ce qu’est une violation de données, examinons les principales causes des violations de données. Par conséquent, il existe deux manières de définir l’étendue d’une violation : au niveau de la violation et au niveau de l’enregistrement.

L’analyse au niveau de la violation consiste à examiner les causes les plus courantes de violation de données, quelle que soit l’étendue de la violation. Cela montre ce qui cause le plus de violations, quel que soit le nombre d’enregistrements violés. Regarder le niveau d’enregistrement signifie prendre en considération l’étendue de la violation. Une seule violation massive peut entraîner la fuite de plus d’enregistrements que toutes les autres violations combinées. Ce type d’analyse vous aidera à savoir comment vos données sont les plus susceptibles d’être divulguées.

Pour cette analyse, nous examinerons les données de violation de mars fournies par le centre de ressources sur le vol d’identité (ITRC). Ces données sont utiles car elles fournissent les deux méthodes d’analyse des violations, ce qui permet une comparaison croisée sans se soucier que certaines violations soient incluses dans un ensemble de données et ignorées dans d’autres.

L’ITRC définit sept causes différentes d’infraction :

  • Exposition accidentelle au Web / Internet
  • Données en mouvement
  • Erreur de l’employé/négligence/élimination inappropriée/perte
  • Piratage / Intrusion (y compris le phishing, les ransomwares / malwares et l’écrémage)
  • Vol d’initié
  • Vol physique
  • L’accès non autorisé

Les noms de catégories sont assez explicites et couvrent toutes les causes possibles d’infraction.

Niveau d’infraction

L’ITRC a enregistré 79 violations de données différentes en mars (plus de deux par jour !). La répartition par cause est la suivante :

  1. L’accès non autorisé: 29 (36,7 %)
  2. Piratage / Intrusion : 28 (35,4 %)
  3. L’employé a causé : 10 (12,7 %)
  4. Exposition Web/Internet accidentelle : 5 (6,3 %)
  5. Vol physique : 4 (5,1 %)
  6. Données en mouvement : 3 (3,8 %)
  7. Vol d’initié : 0 (0%)

Contrairement à la croyance populaire, le piratage/l’intrusion n’est ni la cause de la plupart des violations de données ni la cause la plus fréquente de violations de données. La plupart des violations de données survenues en mars 2019 ont été causées par un accès non autorisé à des données sensibles, suivi par le piratage et les violations causées par la négligence des employés.

Au niveau record

Au niveau record, les données racontent une histoire très différente. Sur la base du nombre d’enregistrements violés, la répartition des causes est la suivante :

  • L’employé a causé : 2 313 460 enregistrements (69,6 %)
  • L’accès non autorisé: 427 356 enregistrements (12,9 %)
  • Exposition Web/Internet accidentelle : 381 812 enregistrements (11,5 %)
  • Piratage / Intrusion : 178 038 enregistrements (5,4 %)
  • Vol physique : 21 221 enregistrements (0,6 %)
  • Données en mouvement : 2 088 enregistrements (0,1 %)
  • Vol d’initié : 0 enregistrements (0 %)

« C’était un accident! » est l’explication la plus courante des violations de dossiers en mars 2019, plus des deux tiers des dossiers ayant été violés en raison de la négligence des employés. Du côté positif, au moins personne ne l’a fait exprès, n’est-ce pas ?

Amélioration de la sécurité des données organisationnelles

L’augmentation des lois sur la confidentialité des données fait des violations de données une menace importante pour les organisations. La plupart des organisations adoptent une approche « extérieure » ​​de la cyberdéfense, en essayant de protéger leurs données en empêchant les méchants d’entrer. Cependant, la plupart des violations de données sont en fait causées par des erreurs commises au sein de l’organisation. Bien que des défenses de périmètre solides soient importantes, se concentrer sur la sécurité des données en gérant l’accès aux données précieuses et en effectuant une analyse comportementale pour identifier et agir sur les comportements potentiellement dangereux pourrait être ce qui est nécessaire pour empêcher la prochaine violation de données. .

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.