Ce qui, en matière de sécurité, figurait comme le pire des scénarios, est devenu réalité en 2014 : avec une augmentation spectaculaire de 78 %, les données compromises ont dépassé le chiffre symbolique du milliard.
Pas de repos pour la sécurité informatique, et même un triste record enregistré en 2014 : selon le Data Breaches Index de Gemalto, 1.514 incidents de violation de données ont été rendus publics l'an passé, ce qui au cumul représente :
1.023.108.267 enregistrements compromis
L'année 2014 a été marquée par l'envolée des méga-piratages, ce qui explique l'explosion du volume des enregistrements compromis, qui enregitre une très forte progression de 78 %. 145 millions d'identités dérobées chez eBay, 109 millions chez Home Depot, 83 millions chez JP Morgan Chase, pour ne citer que le tiercé de tête, les comptes grimpent vite. Et ne s'arrêteront pas là, en ce début 2015 l'assureur Anthem a révélé qu'une attaque s'est conclue par le vol de 80 millions d'identités !
32 identités dérobées chaque minute
8 attaques sur les données sur 10 (76%) ont été repérées en Amérique du Nord. L'Europe n'a enregistré que 12 % des incidents, dont le deux tiers proviennent de Brande-Bretagne. L'Asie/Pacifique progresse fort, emmenée par l'Australie suivie de la Chine.
Gemalto réunit des données publiques. Elles sont considérées comme réalistes, car la plupart des pays se sont dotés de lois qui rendent la notification des violations obligatoire. Et même si beaucoup d'organisations, en France par exemple, tentent de cacher ces informations, ou de retarder leur diffusion - voir l'exemple des 1,3 million de données personnelles dérobées chez Orange, lire « La CNIL sanctionne Orange, une petite punition mais un gros avertissement » – cette information est clairement devenue publique.
D'où viennent les attaques ?
La première origine des incidents de sécurité ayant entrainé le vol de données est malveillante :
- 55 % des violations viennent de l'extérieur, avec l'objectif de pirater les bases afin de dérober des identités.
- 25 % des incidents de données seraient liés à une erreur humaine.
- 15 % des violations viennent de l'intérieur.
- 4 % des violations seraient sponsorisées par les Etats.
- 1 % proviendraient d'hacktivistes.
Aujourd'hui, avec Internet, la moindre erreur ne pardonne plus. Notons que Gemalto ne considère pas comme une erreur humaine le choix de certaines entreprises de ne pas chiffrer les données clients…
Pourquoi les violations de données explosent ?
Ce qui change, en revanche, c'est la nature des attaques. L'objectif des hackers mafieux est désormais, pour plus de la moitié (54%), de dérober des identités. Car avec des organismes financiers qui continuent de s'outiller pour repérer et mettre fin très rapidement aux fraudes financières, comme les cartes de crédit, les pirates se sont adaptés et se font moins voyants car moins gourmands, préférant une masse de petits vols à des grosses opérations à risque. On la vu avec le vol de millions d'identités chez le districuteur américain Target, les pirates se sont fait petits mais ambitieux en multiplmiant les petites opérations sur les comptes bancaires, dont une partie d'ailleurs continue de passer inaperçu.
Et puis, comme le souligne Gemalto, l'arsenal règlementaire des Etats n'a pas suivi l'évolution du digital. Le risque sur un vol d'identité est autrement plus faible que les autres actions. C'est pourquoi il a la faveur des pirates organisés.