Comme chaque année depuis 13 ans, IBM vient de publier son rapport sur les coût des violations de données. Cette année, le coût moyen des violations de données dans le monde est en hausse de 6,4% par rapport à l’année précédente. Il atteint désormais 3,86 millions de dollars (environ 3,4 millions d’euros). Le coût moyen de chaque enregistrement perdu ou volé contenant des informations sensibles et confidentielles a également augmenté de 4,8% par rapport à l’année dernière pour atteindre 148 $ (soit environ 130 euros). Ce sont des sommes considérables. Imaginez le coût de la violation de données qui a affecté les hôtels Marriott fin 2018. 500 millions d’enregistrements de données personnelles de clients ont été affectées!!
Dans cet article, je vous explique comment on évalue ces coûts et comment essayer de les réduire. Cela vous permettra également d’identifier les impacts auxquels vous devez vous attendre lorsque cela vous arrivera. Vous remarquez que je n’ai pas dit « si cela vous arrive ». En effet, cela vous arrivera à coup sûr. Voyons donc les enjeux de sécurité de l’information auxquels vous devez faire face…
Le temps c’est de l’argent
Beaucoup connaissent l’adage selon lequel «le temps, c’est de l’argent». C’est un conseil judicieux pour quiconque soumis à un stress persistant dans sa vie professionnelle (et personnelle). Cela s’applique également aux violations de données. L’étude 2018 sur le coût des violations de données, réalisée par IBM / Ponemon Institute, est un guide indispensable à l’intention des CISO (Responsables de la Sécurité de l’Information), des CPO (responsables de la protection de la vie privée), des DPO (responsables de la protection des données), des gestionnaires de risques et des consultants. Elle leur permet de mieux gérer leurs cyber-risques et les coûts concomitants en cas d’infraction aux réglementations (RGPD par exemple).
Le rapport souligne le coût élevé des violations de données. Dans le même temps, souvent, les responsables de la cybersécurité ignorent si ou quand de telles violations ont lieu dans leurs réseaux. Certains gardent la tête dans le sable et ne privilégient pas suffisamment la détection comme moyen de connaissance. Les réglementations récentes en matière de confidentialité exigent le signalement en temps voulu d’une violation de données lorsque le Responsable du Traitement en a connaissance. Cela peut peut-être amener certains à penser qu’éviter de connaître une violation est une bonne stratégie. Cela permettrait de réduire les coûts associés aux rapports.
Une mauvaise stratégie des entreprises
Hélas, cette «stratégie de l’autruche» n’est pas seulement imprudente et contraire à l’éthique. Elle est bien plus coûteuse pour les organisations. Elle peut même s’avérer catastrophique. Une détection plus rapide des violations de données peut réduire considérablement les pertes. N’oubliez jamais que les pirates de frappent pas d’un seul coup. Ils ont tout leur temps. Et plus vous tardez à réagir, plus ils auront de temps pour commettre des dégâts.
Si nous reprenons le cas de la violation de données qui a touché les hôtels Marriott. C’est le 19 Novembre 2018 que l’investigation a permis de déterminer qu’une violation avait eu lieu. Apparemment un outil avait déjà alerté sur un accès non autorisé dès le 8 septembre. Cela représente plus de 60 jours de délai. Mais cette attaque avait probablement démarré bien avant septembre 2018.
La chaîne cyber-criminelle peut prendre un temps extrêmement long. Je vous invite à bien la comprendre. Elle est décrite de façon détaillée dans un de mes articles récents sur les tests de pénétration.
Le coût stupéfiant des violations de données
En 2018, dans le monde, le coût moyen d’une violation de données hausse de 6,4% par rapport à l’année précédente. Il s’élève désormais à 3,86 millions de dollars (3,4 millions d’euros). Ces statistiques devraient être très préoccupantes. Et elles ne représentent que les coûts tangibles d’une violation. Ce montant ne prend notamment pas en compte les coûts des amendes réglementaires. Par conséquent, les chiffres figurant dans ce rapport doivent être considérés comme une limite basse. Les autres coûts potentiels comprennent les frais liés aux litiges, les amendes pour non-conformité réglementaire et les pertes de revenus dues aux clients qui quittent l’entreprise à la suite d’une violation. Les entreprises investissent massivement dans les produits de cybersécurité et les services professionnels. Alors, pourquoi le coût des violations de données ne diminue-t-il pas? La question mérite d’être posée.
Des moyens insuffisants mis en oeuvre
Chaque nouvelle réglementation relative à la protection des données personnelles appelle à prendre des «mesures de sécurité appropriées». C’est le cas notamment du règlement général européen sur la protection des données (RGPD) ou de la loi américaine sur la protection des renseignements personnels des consommateurs (CCPA). Les entreprises ne prennent en général ces mesures de sécurité de l’information que pour éviter des amendes dissuasives. Et par souci de facilité et d’économie, elles se limitent à s’appuyer sur des outils informatiques facilement accessibles. C’est hélas très insuffisant. Elles ne mettent pas en oeuvre les actions nécessaires pour prévenir la violations résultant d’erreurs humaines. J’ai rarement vu des actions de formation de masse portant sur l’ensemble du personnel. C’est généralement considéré comme trop coûteux et trop lourd.
Des réglementations qui ne vont pas assez loin
L’aspect le plus frustrant de ces nouvelles réglementations est que la responsabilité des données incombe au responsable du traitement. Cela signifie qu’une organisation est responsable de la protection de ses données, peu importe avec qui les données sont partagées et comment les données sont traitées. Cela vaut également une fois qu’elles ne sont plus sous son contrôle. Les obligations contractuelles d’un fournisseur tiers de sécuriser les données une fois qu’il y a accès résultent du contrat entre le responsable du traitement et son sous-traitant.
Le RGPD, impose que de tels accords soient signés. Cependant, il place l’entière responsabilité sur l’organisation d’origine en tant que responsable des pertes de données. Les amendes encourues peuvent atteindre jusqu’à de 4% du chiffre d’affaires mondial annuel, ou 20 millions d’euros par violation. Alors, peut-être que les meilleures pratiques «raisonnables» ne suffisent pas. Peut-être que la technologie liée à la cybersécurité n’est pas utilisée pour s’attaquer au bon problème.
Meilleure détection et meilleure réponse
Le délai moyen moyen d’identification d’une violation est maintenant de 197 jours. Cela représente une légère amélioration par rapport à l’année précédente. Cependant ce délai reste beaucoup trop long. Imaginez-vous vivre avec un voleur chez vous qui dérobe tout ce qui a de la valeur pendant 197 jours? 197 jours pendant lesquels vous ne vous apercevez de rien?
Considérez le comportement typique des attaquants. Je l’ai décrit en détail dans mon précédent article « Tests de pénétration : nécessaires mais pas suffisants« . C’est ce qu’on appelle la chaîne cyber-criminelle. Ils suivent une méthodologie éprouvée. Cela commence par la reconnaissance pour localiser leur cible et identifier les points d’entrée. Vient ensuite la première entrée (généralement par les utilisateurs du harponnage au sein de la cible choisie). Une fois qu’ils ont réussi à voler les informations d’identité d’un utilisateur légitime, ils s’installent pour établir le contrôle pendant de longues périodes. Ils se déplacent latéralement, recherchant d’autres informations d’identification, serveurs, journaux, fichiers et documents qu’ils souhaitent. Les documents et les données sont regroupés et exfiltrés à l’aide de protocoles courants. Ils utilisent aussi des sites tiers qui servent de serveurs de transfert à partir desquels ils peuvent télécharger leurs biens volés. Le fait d’avoir pris pied permet l’exfiltration de données à long terme à un rythme adapté à leurs besoins.
Et ce qui est le plus frappant, c’est que tout cela se déroule à l’insu de l’organisation cible.
L’utilisation de leurres est-elle efficace?
La plupart des approches de détection de fraude passent à côté de la cible en matière de détection précoce. Une variété de sociétés de technologie de détection de fraude vantent les réseaux de miel (honeynets en anglais) permettant une détection précoce. En gros, il s’agit de leurres qui vont agir comme des pièges à pirates. Je vous invite à consulter cet article sur le blog du hacker pour mieux comprendre leur fonctionnement. On installe les honeynets à côté de serveurs opérationnels. Et les attaquants ne seraient attirés par ces honeynets que s’ils y étaient conduits. On prend soin d’empêcher les utilisateurs ordinaires de se connecter à des réseaux de miel. Sinon, les fausses alarmes auraient un impact négatif sur les affaires. Et, au moment où un attaquant est tombé dans un leurre (en anglais honeypot), il aura déjà avoir effectué une recherche sur le réseau opérationnel et probablement déjà volé son butin. Malheureusement, cette approche est inefficace pour détecter et réagir aux violations de données.
Il existe également des technologies émergentes de capteurs qui offrent une meilleure solution. On les déploie directement dans l’environnement opérationnel. Par exemple, des capteurs de perte de données peuvent être générés automatiquement, des documents leurres hautement crédibles avec des balises incorporées placées de manière stratégique dans des dossiers, des répertoires ou des partages tiers afin d’inciter les pirates à les ouvrir et d’alerter les équipes de sécurité sur les violations à un stade précoce.
Des pistes pour améliorer la détection
L’absence de données de recherche réelles et à grande échelle sur le monde réel a empêché la mise au point de systèmes de détection d’intrusion (IDS) efficaces pouvant arrêter une attaque dès le début de son cycle de vie. La plupart des organisations confrontées à ce type d’attaques préfèrent ne pas les annoncer publiquement pour des raisons de responsabilité et de confidentialité.
Soixante-douze pour cent des incidents résultant des menaces internes (insiders en anglais) survenus dans les établissements sondés ont été traités en interne. Aucune action judiciaire ni intervention de la police n’est intervenue. Seulement 13% des incidents issus de menaces internes ont été traités en interne mais ont donné lieu à des poursuites judiciaires. L’annonce de telles attaques peut également avoir des conséquences sur les parts de marché d’une entreprise. Pour ces mêmes raisons, les victimes d’infractions sont encore moins susceptibles de partager des données réelles qui pourraient être utilisées pour étudier de telles attaques avec le monde de la recherche.
Les attaques de mascarade
Une attaque courante est la mascarade ou usurpation d’identité (en anglais, masquerade). Elle consiste à tromper les mécanismes d’authentification pour se faire passer pour un utilisateur autorisé, de façon à obtenir des droits d’accès illégitimes et ainsi compromettre la confidentialité, l’intégrité ou la disponibilité. Un cas particulier de d’usurpation d’identité consiste pour un attaquant à « forger » de fausses adresses d’origine pour les messages qu’il émet. Dans ce cas, nous parlons alors plus particulièrement de spoofing (littéralement, parodie) d’adresse. Ce déguisement est, par exemple, très facile à réaliser sur le réseau Internet, puisqu’il n’y a pas d’authentification sur les adresses IP.
L’étude des attaques par mascarade souffre également de la rareté des données réelles, malgré leur importance. Trente-cinq pour cent des dirigeants et des membres des autorités publiques ont vu leurs informations, systèmes et réseaux utilisés sans autorisation. Les attaques de mascarade se classent au deuxième rang des cinq principaux cyber-crimes perpétrés par des personnes extérieures, juste après les virus, les vers et autres vecteurs d’attaque malveillants.
L’expérience de la DARPA
L’essentiel de cette expérience est le suivant. Les imposteurs, tout comme les voleurs qui s’introduisent dans une maison, doivent collecter des informations sur l’environnement dans lequel ils viennent d’entrer. Ils doivent en savoir plus sur leur domicile, rechercher des objets de valeur à voler et empaqueter des données pour les exfiltrer. Cette activité précoce est essentielle pour détecter leur activité néfaste. Par conséquent, le fait de placer les capteurs qui agissent comme des fils de déclenchement dans les dossiers et les répertoires les plus susceptibles d’être recherchés dans le cadre d’une attaque sert de mécanisme de détection.
L’efficacité de l’utilisation de capteurs intégrés dans des documents comme moyen de détecter la perte de données a été prouvée par une étude scientifique parrainée par la DARPA. L’étude a mesuré les vrais et faux positifs et les vrais négatifs. Dans le cadre de l’étude, 39 imposteurs individuels, tous sélectionnés pour leur connaissance approfondie et sophistiquée de l’informatique et des systèmes en général, ont été autorisés à accéder à un système comme s’ils avaient déjà réussi à voler les références nécessaires. Les imposteurs ont ensuite été informés que leur travail consistait à voler des informations sensibles dans le système en exploitant les informations d’identification qui leur étaient fournies. L’étude a suivi une méthodologie prescrite et statistiquement valide selon laquelle les imposteurs étaient informés du type d’informations à voler, mais non de la manière de les voler. Ils ont été laissés à eux-mêmes pour trouver et exfiltrer leur butin.
Dans cette étude, l’utilisation stratégique de capteurs pour détecter le moment où les documents ont été consultés a permis:
- de détecter 98% des imposteurs
- la génération d’un seul faux positif par semaine d’opération
- de réussir la détection dans les 10 minutes.
Conclusion
La détection précoce d’un accès non autorisé à des données sensibles, telle que celle décrite dans cette étude de la DARPA, peut permettre aux organisations de ne pas souffrir du coût d’une violation. Il y a 28% de chances qu’une entreprise subisse une violation dans les deux prochaines années. Cela peut entraîner une perte de 3,6 millions USD basée sur le coût moyen d’une violation de données. En utilisant ces chiffres comme point de repère, la détection d’une violation dans les 30 jours ou moins (au lieu de la moyenne de 197 jours) permet à l’entreprise d’économiser un million de dollars en coûts. La plupart des entreprises s’appuient déjà sur des capteurs de réseau et de points d’accès pour collecter des données de sécurité critiques. Pourquoi ne pas utiliser des capteurs à la source des données?
Si le temps de détection est essentiel pour permettre aux entreprises de réaliser des économies substantielles, le secteur de la sécurité doit examiner de nouvelles technologies et approches pour améliorer cette mesure. L’utilisation de capteurs de perte de données est une méthode éprouvée pour attraper rapidement les imposteurs dès le début d’une attaque.
Les violations de données représentent un gouffre financier pour les entreprises. Cependant, ce n’est pas inévitable. Des solutions existent pour réduire les impacts. Encore faut-il que les dirigeants comprennent l’ampleur du phénomène et évaluent correctement les risques.
Vous êtes tous et toutes concerné(e)s puisqu’un quart d’entre vous serez potentiellement affectés dans les deux ans qui viennent. Alors, n’hésitez pas à réagir et à donner votre avis au travers de vos commentaires.