Une atteinte à la sécurité est tout incident qui entraîne un accès non autorisé à des données, des applications, des réseaux ou des appareils informatiques. Elle se traduit par un accès non autorisé à des informations. En général, une atteinte à la sécurité se produit lorsqu’un intrus est capable de contourner les mécanismes de sécurité.
Techniquement, il existe une différence entre une atteinte à la sécurité et une atteinte à la protection des données. Une atteinte à la sécurité est en réalité une effraction, alors qu’une atteinte à la protection des données correspond au vol d’informations par un cybercriminel. Imaginez un cambrioleur. L’atteinte à la sécurité se produit lorsque celui-ci passe par la fenêtre, tandis que l’atteinte à la protection des données se produit lorsque le cambrioleur s’empare de votre portefeuille ou de votre ordinateur portable et emporte ces objets avec lui.
Les informations confidentielles sont extrêmement précieuses. Celles-ci sont souvent vendues sur le Web caché. Par exemple, des noms et des numéros de cartes de crédit peuvent y être achetés, puis utilisés à des fins d’usurpation d’identité ou de fraude. Il n’est pas surprenant que les atteintes à la sécurité puissent coûter très cher aux entreprises. En moyenne, la facture s’élève à près de 4 millions de dollars pour les grandes compagnies.
Il est également important de distinguer la définition d’une atteinte à la sécurité de la définition d’un incident de sécurité. Un incident peut impliquer une infection par un logiciel malveillant, une attaque DDOS ou le fait qu’un employé laisse son ordinateur portable dans un taxi. Toutefois, si l’incident n’entraîne pas l’accès au réseau ni la perte de données, il ne sera pas considéré comme une atteinte à la sécurité.
Exemples d’atteintes à la sécurité
Lorsqu’une grande organisation subit une atteinte à la sécurité, la nouvelle défraie toujours la chronique. Voici quelques exemples d’atteintes à la sécurité :
- Equifax: en 2017, la vulnérabilité d’une application Web a entraîné la perte des données personnelles de 145 millions d’Américains. Cela inclut leurs noms, leurs numéros de sécurité sociale et leurs numéros de permis de conduire. Les attaques se sont déroulées sur une période de trois mois, de mai à juillet, mais l’atteinte à la sécurité n’a été annoncée qu’en septembre.
- Yahoo: trois milliards de comptes d’utilisateurs ont été compromis en 2013 après qu’une tentative d’hameçonnage a permis à des pirates informatiques d’accéder au réseau.
- eBay a connu une atteinte majeure à la sécurité en 2014. Même si les informations relatives aux cartes de crédit des utilisateurs de PayPal n’étaient pas menacées, les mots de passe de nombreux clients ont été compromis. La société a réagi rapidement en envoyant un email à ses utilisateurs et en leur demandant de modifier leurs mots de passe afin de sécuriser leurs comptes.
- Le site de rencontres Ashley Madison, qui se commercialisait auprès de personnes mariées souhaitant avoir des aventures, a été piraté en 2015. Les pirates informatiques ont divulgué un nombre considérable de données relatives aux clients sur Internet. Les extorqueurs ont commencé à cibler des clients dont les noms avaient été divulgués et des rapports non confirmés ont établi un lien entre un certain nombre de suicides et la fuite des données.
- Sur Facebook, des failles logicielles internes ont entraîné la perte des données personnelles de 29 millions d’utilisateurs en 2018. Il s’agissait d’une atteinte à la sécurité particulièrement embarrassante puisque parmi les comptes compromis figurait celui du PDG de la société, Mark Zuckerberg.
- Marriott Hotels a annoncé une atteinte à la sécurité et à la protection des données qui a touché près de 500 millions de clients en 2018. Cependant, son système de réservation des chambres a été piraté en 2016 et ce n’est que deux ans plus tard que l’atteinte à la sécurité a été découverte.
- Mais le plus embarrassant, c’est que le fait d’être une entreprise spécialisée dans la cybersécurité ne vous met pas à l’abri du danger. La société tchèque Avast a annoncé une atteinte à la sécurité en 2019, lorsqu’un pirate informatique a réussi à compromettre les identifiants du VPN d’un employé. Cette atteinte à la sécurité n’a pas menacé les données des clients et visait plutôt à insérer des logiciels malveillants dans les produits d’Avast.
Il y a une dizaine d’années, de nombreuses entreprises ont tenté de taire les informations relatives aux atteintes à la sécurité afin de ne pas ébranler la confiance des consommateurs. Cependant, cela devient de plus en plus rare. Dans l’UE, le RGPD (règlement général sur la protection des données) contraint les entreprises à informer de toute violation les autorités compétentes et les personnes dont les données personnelles pourraient être menacées. En janvier 2020, le GDPR n’était en vigueur que depuis 18 mois, et déjà, plus de 160 000 signalements distincts d’atteintes à la protection des données avaient été effectués, soit plus de 250 par jour.
Les types d’atteintes à la sécurité
Il existe plusieurs types d’atteintes à la sécurité selon la manière dont l’accès au système a été obtenu :
- Un exploit attaque une vulnérabilité du système, comme un système d’exploitation obsolète. Par exemple, les systèmes patrimoniaux qui n’ont pas été mis à jour dans les entreprises où l’on utilise des versions obsolètes et non prises en charge de Microsoft Windows sont particulièrement vulnérables aux exploits.
- Les mots de passe faibles peuvent être piratés ou devinés. Même aujourd’hui, certaines personnes utilisent encore le mot de passe « mot de passe », et « m0t de passe » n’est pas beaucoup plus sécurisé.
- Les attaques de logiciels malveillants, comme les emails d’hameçonnage, peuvent être utilisées pour s’introduire dans le système. Il suffit qu’un employé clique sur un lien dans un email d’hameçonnage pour que des logiciels malveillants commencent à se propager sur le réseau.
- Les téléchargements furtifs transmettent des virus ou des logiciels malveillants par le biais d’un site Web compromis ou fictif.
- L’ingénierie sociale peut également être utilisée pour accéder au système. Par exemple, un intrus téléphone à un employé prétendant appartenir au service d’assistance informatique de l’entreprise et lui demande son mot de passe dans le but de « réparer » l’ordinateur.
Dans les exemples d’atteintes à la sécurité que nous avons mentionnés ci-dessus, un certain nombre de techniques différentes ont été utilisées pour accéder aux réseaux des entreprises : Yahoo a subi une attaque d’hameçonnage, tandis que Facebook a été piraté par un exploit.
Bien que nous ayons parlé des atteintes à la sécurité qui touchent les grandes organisations, les mêmes atteintes à la sécurité s’appliquent aux ordinateurs et aux autres appareils des particuliers. Vous êtes probablement moins susceptible d’être piraté par un exploit, mais de nombreux utilisateurs ont été touchés par des logiciels malveillants, que ceux-ci aient été téléchargés comme faisant partie d’un ensemble de logiciels ou qu’ils aient été introduits dans l’ordinateur par une attaque d’hameçonnage. Les mots de passe faibles et l’utilisation des réseaux Wi-Fi publics peuvent compromettre les communications sur Internet.
Que faire en cas d’atteinte à la sécurité ?
Si vous êtes client d’une grande entreprise et que vous apprenez qu’elle a été victime d’une atteinte à la sécurité, ou si vous découvrez que votre propre ordinateur a été compromis, vous devez prendre rapidement des mesures pour assurer votre sécurité. N’oubliez pas qu’une atteinte à la sécurité d’un compte peut entraîner des risques pour d’autres comptes, surtout s’ils utilisent les mêmes mots de passe ou si vous effectuez régulièrement des transactions entre ceux-ci.
- Si une atteinte à la sécurité est susceptible de mettre en péril vos informations financières, informez les banques et les institutions financières auprès desquelles vous détenez des comptes.
- Modifiez les mots de passe de tous vos comptes. Si le compte contient des questions et réponses de sécurité ou des codes PIN, vous devriez également les modifier.
- Vous pouvez envisager un gel du crédit. Cela empêche toute personne d’utiliser vos données à des fins d’usurpation d’identité et d’emprunt en votre nom.
- Vérifiez votre rapport de crédit pour déterminer si quelqu’un utilise vos coordonnées pour faire une demande de crédit.
- Essayez de déterminer exactement les données qui ont pu être volées. Cela vous donnera une idée de la gravité de la situation. Par exemple, si des informations fiscales et des numéros de sécurité sociale ont été volés, vous devrez agir rapidement pour vous assurer que votre identité n’est pas usurpée. Cette situation est plus grave que la simple perte des données de votre carte de crédit.
- Ne répondez pasdirectement aux demandes d’une entreprise vous invitant à lui communiquer des données personnelles après une atteinte à la protection des données. Il pourrait s’agir d’une attaque d’ingénierie sociale. Prenez le temps de lire les nouvelles, de consulter le site Web de l’entreprise ou même de téléphoner à son service clientèle pour vérifier si les demandes sont légitimes.
- Restez vigilants face à d’autres types d’attaques d’ingénierie sociale. Par exemple, même sans données financières, un criminel qui a accédé aux comptes d’un hôtel pourrait téléphoner aux clients pour obtenir leur avis sur leur récent séjour. À la fin de l’appel, après avoir établi une relation de confiance, le criminel pourrait proposer un remboursement des frais de stationnement et demander le numéro de carte du client afin d’effectuer le paiement. La plupart des clients ne réfléchiraient probablement pas à deux fois avant de fournir ces détails si l’appel est convaincant.
- Surveillez vos comptes pour détecter tout signe de nouvelle activité. Si vous constatez des transactions que vous ne reconnaissez pas, traitez-les immédiatement.
Comment se protéger contre les atteintes à la sécurité ?
Bien que personne ne soit à l’abri d’une atteinte à la protection des données, de bonnes habitudes en matière de sécurité informatique peuvent vous rendre moins vulnérable et vous aider à surmonter une atteinte à la protection des données en limitant les dégâts. Ces conseils devraient vous aider à empêcher les pirates informatiques de violer votre sécurité personnelle sur vos ordinateurs et vos autres appareils.
- Utilisez des mots de passe forts, qui combinent des chaînes aléatoires de lettres majuscules et minuscules, de chiffres et de symboles. Celles-ci sont beaucoup plus difficiles à pirater que les mots de passe plus simples. N’utilisez pas de mots de passe faciles à deviner, comme des noms de famille ou des dates d’anniversaire. Utilisez un gestionnaire de mots de passe pour protéger vos mots de passe.
- Utilisez des mots de passe différents pour chaque compte. Si vous utilisez un même mot de passe, un pirate informatique qui accède à un compte pourra accéder à tous vos autres comptes. Si les mots de passe sont différents, seul le compte en question sera menacé.
- Fermez les comptes que vous n’utilisez pas plutôt que de les laisser inactifs. Cela permet de réduire votre degré de vulnérabilité face à une atteinte à la sécurité. Si vous n’utilisez pas un compte, vous risquez de ne jamais vous rendre compte qu’il a été compromis, et il pourrait servir de porte dérobée pour accéder à vos autres comptes.
- Modifiez régulièrement vos mots de passe. L’une des caractéristiques de nombreuses atteintes à la sécurité publiquement signalées est qu’elles se sont produites sur une longue période, et que certaines n’ont été signalées que des années après la brèche. La modification régulière des mots de passe réduit le risque d’atteintes inopinées à la protection des données.
- Si vous vous débarrassez d’un ordinateur, effacez correctement son disque dur. Ne vous contentez pas de supprimer les fichiers, mais utilisez un programme de destruction de données pour nettoyer complètement le disque, en écrasant toutes les données qu’il contient. Il est également possible de nettoyer le disque en effectuant une nouvelle installation du système d’exploitation.
- Sauvegardez vos fichiers. Certaines atteintes à la protection des données entraînent le chiffrement des fichiers, suivi d’une demande de rançon pour les rendre à nouveau accessibles à l’utilisateur. Si vous disposez d’une sauvegarde distincte sur un disque amovible, vos données sont en sécurité en cas de brèche.
- Sécurisez votre téléphone. Utilisez un verrouillage d’écran et mettez régulièrement à jour le logiciel de votre téléphone. N’utilisez pas le mode super-utilisateur sur votre téléphone et ne débridez pas celui-ci. L’utilisation du mode super-utilisateur sur un appareil donne aux pirates informatiques la possibilité d’installer leurs propres logiciels et de modifier les paramètres de votre téléphone.
- Sécurisez votre ordinateur et vos autres appareils en utilisant des logiciels antivirus et antimalware.Kaspersky Anti-Virus est un choix intéressant pour protéger votre ordinateur contre les infections et éviter que des pirates informatiques ne s’introduisent dans votre système.
- Faites attention lorsque vous cliquez. Les emails non sollicités qui contiennent des liens vers des sites Web peuvent représenter des tentatives d’hameçonnage. Certains peuvent prétendre provenir de vos contacts. Si les messages contiennent des pièces jointes ou des liens, vérifiez leur authenticité avant de les ouvrir et utilisez un programme antivirus pour les analyser.
- Lorsque vous accédez à vos comptes, assurez-vous que vous utilisez le protocole sécurisé HTTPS et pas seulement le protocole HTTP.
- Pour votre sécurité, surveillez vos relevés bancaires et vos rapports de crédit. Les données volées peuvent refaire surface sur le Web caché des années après l’atteinte initiale à la protection des données. Cela pourrait signifier qu’une tentative de vol d’identité se produirait bien après que vous ayez perdu de vue l’atteinte à la protection des données qui a compromis ce compte.
- Prenez conscience de la valeur de vos renseignements personnels et ne les divulguez que si cela s’avère nécessaire. Trop de sites Web veulent en savoir trop sur vous. Pourquoi une revue d’entreprise a-t-elle besoin de connaître votre date de naissance, par exemple ? Ou encore, pourquoi un site de vente aux enchères aurait-il besoin de votre numéro de sécurité sociale (NIR) ?
Jamais vous ne laisseriez la porte de votre maison ouverte toute la journée pour laisser entrer qui que ce soit. Il en va de même pour votre ordinateur. Gardez votre accès au réseau et vos données personnelles hautement sécurisés, et ne laissez aucune fenêtre ni aucune porte ouverte permettant à un pirate informatique d’infiltrer votre système.
Liens connexes
Comment mettre vos informations bancaires en ligne à l’abri du vol ?
Conseils sur la manière de se protéger contre la cybercriminalité