Les atteintes à la protection des données ont atteint un nouveau sommet historique en 2021

En ce qui concerne les violations de données, il ne fait aucun doute que l'année 2021 restera dans les annales. L'Identity Theft Resource Center (ITRC) a indiqué que le nombre total de violations de données jusqu'au 30 septembre 2021 avait déjà dépassé de 17 % le nombre total d'événements en 2020. Avec les récentes vulnérabilités de type « zero-day » comme celle de Log4j, les chiffres ne peuvent désormais qu'augmenter.

En tête de liste des violations de données pour l'année 2021 figurent la découverte de données collectées par Cognyte (une société d'analyse de cybersécurité) qui a entraîné l'exposition de cinq milliards de dossiers, et la découverte des données personnelles de quelque 700 millions d'utilisateurs LinkedIn qui étaient proposées à la vente sur le Dark Web. Elles figurent toutes deux dans le top 10 des violations ayant exposé le plus grand nombre de dossiers.

N'en déplaise à la Providence, il semble que n'importe quelle organisation puisse aujourd'hui se retrouver confrontée aux conséquences d'une violation majeure de données. Une enquête réalisée par le cabinet d'étude Pulse, pour le compte de Vulcan Cyber (fournisseur d'une plateforme de gestion des cyberattaques) et menée auprès de 200 professionnels de l'informatique et de la sécurité en entreprise révèle que les principales préoccupations des entreprises en matière d'exposition des données sensibles sont actuellement les vulnérabilités des applications (54 %), suivies par l'absence d'authentification (44 %), les mauvaises configurations de sécurité (39 %), l'insuffisance de la journalisation et de la surveillance (35 %) et enfin l'injection (32 %). Les personnes interrogées ont également indiqué que la vulnérabilité des comptes utilisateur sans privilèges Microsoft Kerberos, connue sous le nom de MS14-068, était la plus préoccupante pour leur entreprise.

Toutefois, l'enquête montre clairement que la hiérarchisation des vulnérabilités est une science inexacte. Plus des trois quarts des personnes interrogées (78 %) ont déclaré que les vulnérabilités de haute priorité identifiées par des sources tierces devraient être moins bien classées qu'elles ne le sont, suivant l'impact qu'elles sont susceptibles d'avoir sur leur organisation. Inversement, plus des deux tiers des participants (69 %) ont également indiqué que les vulnérabilités de rang inférieur devraient être classées plus haut dans la hiérarchie. Plus de 80 % des personnes interrogées ont déclaré qu'elles pourraient tirer avantage d'une plus grande flexibilité, y compris par intuition, pour hiérarchiser les vulnérabilités en fonction de leur environnement à risque particulier.

Malgré les amendes et les pénalités qui pourraient être infligées par les gouvernements du monde entier, les entreprises ne semblent pas changer leur façon de gérer les données, en dépit d'un grand nombre de problèmes de sécurité. La chose la plus intelligente qu'une entreprise puisse faire pour réduire le nombre de violations auxquelles elle pourrait avoir à répondre est de réduire la quantité de données sensibles qu'elle stocke. Les entreprises stockent généralement beaucoup plus de données qu'elles n'en ont besoin, notamment dans des feuilles de calcul que les utilisateurs finaux ont tendance à remplir de toutes sortes d'informations personnelles identifiables (PII). La seule chose qui s'interpose généralement entre un cybercriminel et ces données est un mot de passe, qui est facilement compromis. Les entreprises qui ont tendance à accumuler des données sont souvent leur propre ennemi en matière de cybersécurité.

Il est difficile de dire avec certitude ce que l'année 2022 nous réserve, si ce n'est que les attaques de cybersécurité vont augmenter en volume et en sophistication.  Si les entreprises continuent sur la même lignée qu'en 2021 et attendent un résultat différent, alors, comme l'a souligné Albert Einstein, la seule chose que nous aurons définitivement atteinte en 2021 sera un nouveau niveau de folie dans le domaine de la cybersécurité.