Une étude de Flashpoint et Risk Based Security considère que la baisse du nombre total de brèches et le temps qu'il faut à une organisation pour la signaler ne correspondent pas à la réalité…
Intitulé« 2021 Year End Report : data Breach QuickView », cette enquête note une baisse de 5 % du nombre total de violations entre 2020 et 2021, un chiffre quine reflète probablement pas la réalité. Fin 2020, le nombre de brèches divulguées publiquement s'élevait à 3 932 selon son rapport de l’époque.
Flashpoint et Risk Based Security avaient estimé que ce nombre augmenterait de 5 à 10 % au cours de l'année 2021. En réalité, ce nombre a augmenté d’environ 12 %, entre 4 352 et 4 560.
Si une base de données fuit en ligne, mais que personne n'est là pour récupérer les données, s'agit-il d'une violation ? « Selon nous, oui, mais nous reconnaissons également qu'il existe un gap entre des cyberattaquants qui volent d’importants volumes de données sensibles et une perte de contrôle du même ensemble de données », soulignent les auteurs de cette étude.
Le nombre de documents exposés au cours de la période considérée a dépassé 22 milliards. « Bien que ce chiffre soit inférieur de 14,5 milliards d'enregistrements exposés qu'en 2021 (l'année qui a établi un record historique de 37,2 milliards d'enregistrements exposés), il s'agit de la deuxième année la plus élevée pour le nombre de données confidentielles compromises depuis 2005 », lit-on dès les premières pages de ce dossier.
Et les méthodes sont hélas toujours les mêmes :
Mais ces quelques chiffres ne donnent pas de « réponse claire et il faut tenir compte d'autres éléments que les données brutes » selon Flashpoint et Risk Based Security : le temps qu'il faut pour signaler une violation, associé aux effets persistants d'une baisse de la couverture médiatique et à un plus grand nombre d'attaques par ransomware qui peuvent être tenues à l'écart du public, a sans aucun doute joué un rôle dans le déclin des violations signalées publiquement », notent les auteurs de ce rapport.
Une année pour divulguer une brèche
La diminution du nombre de rapports ne signifie donc pas que la situation s'améliore. Le rapport comprend des données remontant à 2014 sur le nombre moyen de jours nécessaires pour divulguer une brèche, en commençant par 91 jours. En 2017, ce nombre était tombé à 49 jours, mais il est depuis remonté à 89 jours, l’année dernière.
« En 2021, 15 violations ont pris plus de 365 jours - une année complète - entre la découverte et la publication d'une lettre officielle de notification de violation. Cent soixante-neuf autres événements ont duré six mois ou plus », lit-on dans ce rapport.
« Il serait facile de mettre ces délais extrêmement longs sur le compte de la pandémie, mais cette tendance a commencé bien avant. Les enquêtes complexes sur les incidents, la faiblesse de l'application des règles et un aveuglement délibéré à l'égard des obligations de notification semblent être à l'origine de ces retards », notent Flashpoint et Risk Based Security.
Le rapport conclut en affirmant que les violations de données et les attaques cette année seront difficiles à prévoir, mais qu'elles ne sont guère sur le déclin. « Tant que les acteurs malveillants auront une voie de monétisation des attaques, il n'y aura pas de pénurie de brèches à couvrir », indique le rapport.