Un regard sur les statistiques de violation de données en 2020

2020 s’est avérée être une année difficile à tous points de vue. Avec la crise sanitaire provoquée par la pandémie de COVID-19 qui a perturbé l’économie mondiale et paralysé de nombreux secteurs, la cybersécurité était peut-être la dernière chose à laquelle on pensait. Cependant, de nombreux acteurs malveillants ont profité du chaos pour faire des ravages et tirer profit du relâchement des efforts en matière de cybersécurité. En conséquence, 2020 a été une année stellaire en matière de violations de données et d’amendes réglementaires.

L’adoption précipitée de politiques de travail à distance généralisées dans tous les secteurs d’activité a créé de grandes lacunes en matière de cybersécurité, ce qui a entraîné une augmentation des incidents de sécurité. Selon l’étude Enduring from Home de la société de cybersécurité Malwarebytes : COVID-19’s Impact on Business Security report, les travailleurs à distance sont devenus la source de près de 20 % des incidents de cybersécurité en 2020. Parmi les entreprises qui ont répondu à leur enquête, 24 % ont également dû faire face à des dépenses imprévues liées directement à des cyberattaques et à des brèches survenues en raison du travail à domicile.

Le rapport a également révélé une tendance inquiétante chez les travailleurs à distance à utiliser leurs appareils personnels plutôt que ceux fournis par l’entreprise. 27,7 % des personnes interrogées ont déclaré qu’elles utilisaient davantage leurs appareils personnels que les appareils fournis par leur lieu de travail, et 31,2 % supplémentaires ont admis qu’elles utilisaient parfois des appareils personnels pour le travail. Seuls 39,1 % utilisaient strictement les appareils fournis par l’entreprise pour accomplir leurs tâches.

Certaines des principales préoccupations des entreprises en matière de travail à distance étaient liées au fait que les appareils étaient plus exposés à domicile, où des personnes non autorisées pouvaient y avoir accès, à la difficulté de gérer les appareils utilisant des ressources de travail à distance, à l’informatique fantôme et à une diminution de l’efficacité du support informatique effectué à distance. Tout cela dans la situation où seulement 61% des entreprises ont fourni aux employés des appareils délivrés par le travail et 45% n’ont pas effectué d’analyses de sécurité et de confidentialité en ligne des outils logiciels qu’elles ont mis en place pour la transition vers le travail à domicile.

Les principales causes des violations de données

Selon le rapport 2020 d’IBM et de l’Institut Ponemon sur le coût d’une violation de données, qui a interrogé 3200 personnes travaillant pour 524 organisations dans 17 pays et régions, 52 % de toutes les violations de données ont été causées par des personnes extérieures malveillantes, 25 % supplémentaires par des défaillances du système et 23 % par une erreur humaine. Les informations personnelles identifiables (PII) des clients, qui représentaient 80 % de toutes les violations de données, étaient le type d’enregistrement le plus souvent perdu ou volé. Cela n’a rien d’étonnant puisque les IIP sont les données les plus précieuses en raison de leur sensibilité. Par conséquent, c’est aussi le type de données le plus souvent protégé par les réglementations sur la protection des données.

Les informations d’identification compromises et la mauvaise configuration du cloud étaient responsables de 19 % des violations de données malveillantes, les vulnérabilités des logiciels tiers représentant 16 % supplémentaires. L’erreur humaine n’était pas non plus la seule façon dont les employés ont contribué aux violations de données. Les initiés malveillants ont été à l’origine de 7 % des violations de données, les attaques d’ingénierie sociale et de phishing visant directement les employés représentant 17 % supplémentaires.

Les employés se sont également révélés plus négligents dans certains secteurs que dans d’autres. En tête de liste, l’industrie du divertissement, où 34 % des violations de données ont été causées par des employés négligents, suivie par les secteurs du public et des produits de consommation, où l’erreur humaine a été à l’origine de 28 % des violations de données. Dans le secteur des soins de santé, malgré une réglementation stricte, la négligence des employés a été à l’origine de 27 % de toutes les violations de données. À l’autre extrémité du spectre, dans le secteur des transports, seulement 13 % des violations de données ont été causées par une erreur humaine, tandis que dans le secteur du commerce de détail et de la technologie, cela a représenté 17 %.

Les amendes liées au RGPD ne cessent d’augmenter

Alors que l’application de certaines réglementations sur la protection des données, comme l’HIPAA aux États-Unis, a été assouplie en raison de la pandémie, les agences européennes de protection des données ont poursuivi leur travail sans entrave. Cette année a été marquée par un nombre record d’amendes pour non-conformité au règlement général sur la protection des données de l’UE. À ce jour, 281 amendes ont été émises cette année, pour un montant de plus de 162 millions d’euros.

Google a été le plus touché, son recours contre l’amende de 50 millions d’euros infligée par la CNIL en France ayant été rejeté par la plus haute juridiction du pays, et l’autorité suédoise chargée de la protection des données ayant infligé au géant de la technologie une autre amende de 7 millions d’euros pour son non-respect du droit à l’oubli d’un individu.

En octobre 2020, la deuxième plus grosse amende GDPR jamais infligée, d’environ 35 millions d’euros, a été émise par l’autorité de protection des données de Hambourg, en Allemagne, à l’encontre du détaillant de vêtements H&M pour avoir enregistré des réunions avec des employés au cours desquelles des informations sensibles ont été divulguées, puis les avoir partagées en interne entre les responsables.

British Airways a été condamnée à une amende de 22 millions d’euros pour n’avoir pas su prévenir une violation de données qui a touché 400 000 clients en raison de mauvaises mesures de cybersécurité. Marriott a quant à lui été frappé d’une amende de 20,4 millions d’euros pour la spectaculaire violation de données qui a touché 83 millions de dossiers de clients et qui était une conséquence de son manque de diligence raisonnable après l’acquisition du groupe Starwood qui était à l’origine de l’incident.

En conclusion

Alors que les entreprises font face aux difficultés posées par la pandémie de COVID-19, il est essentiel qu’elles ne négligent pas la cybersécurité. Les acteurs malveillants sont toujours à la recherche d’opportunités de profit et cette année n’a pas été différente. Dans le même temps, si les autorités chargées de la protection des données se sont montrées plus indulgentes en raison des circonstances actuelles, elles n’ont pas hésité à appliquer des sanctions vertigineuses lorsqu’une négligence flagrante des exigences en matière de protection des données était identifiée.

Tout cela montre que la cybersécurité, qui était considérée il y a encore quelques années comme une réflexion après coup par de nombreuses organisations, est désormais un élément crucial des opérations commerciales et il n’y aura plus de moment où il sera acceptable de la négliger.

.