Cybercriminalité et atteinte à la vie privée

Une violation de données ou une atteinte à la sécurité des données est un incident au cours duquel des informations sensibles, privées ou confidentielles sont vues, volées ou utilisées par des tiers non autorisés.

Ce type de délit peut à la fois engendrer des dégâts sur les biens, par exemple lorsqu'il y a sabotage des systèmes informatiques, et mener à la violation des droits afférents à des biens, comme le vol de codes source, de données clients ou d'autres informations. En outre, les systèmes entiers d'une entreprise peuvent s'en retrouver gravement affectés. Le cas de figure le plus commun pour un vol de données est une attaque de pirate informatique qui pénètre dans le réseau d'une entreprise.

L'étude sur la violation de données réalisée par Verizon, lancée il y a 10 ans, donne un aperçu du nombre grandissant de cyberattaques qui affectent les entreprises, les organisations et les gouvernements. L'étude fournit des chiffres précis et révèle à combien pourrait s'élever un vol de données. L'année dernière, 80000 incidents de sécurité dans 61 pays ont été enregistrés, dans 2100 cas, il s'agissait d'attaques effectuées par des cybercriminels. Par rapport à l'année dernière, cela représente une augmentation de 55 pour cent des attaques réussies, avec une augmentation de 26 pour cent du nombre de cas total.

Les types de cyber-attaques les plus courants

Environ 90 pour cent de toutes les attaques effectuées par des pirates informatiques se déroulent de la manière suivante :

• Erreur humaine, par exemple envoyer des emails au mauvais destinataire,
• Attaques sur les applications web,
• Crimeware (différents types de programmes malveillants essaient de prendre le contrôle des systèmes de données),
• Mauvaise utilisation des données par les employés,
• Vol physique des données ou perte de données,
• Attaques par déni de service,
• Cyber-espionnage,
• Attaques sur le Point de Ventes,
• Lecture des détails de paiement : espionnage des informations et des numéros liés à une carte de crédit.

Le vol de données & l’hameçonnage toujours populaires auprès des pirates informatiques

Lors d’attaques réalisées par des pirates informatiques sur des entreprises avec vol de données confidentielles, la plupart des assaillants utilisent les vulnérabilités des applications web. Souvent, l'accès au logiciel a été volé au préalable par les cybercriminels ou ces derniers ont recours à des méthodes d'hameçonnage. Le vol de données par hameçonnage est très populaire au sein de la communauté des pirates informatiques – et encore plus performant lorsque les deux méthodes sont combinées. Selon l'étude, dans le cadre de campagnes d'hameçonnage de grande envergure par email, environ 23 pour cent des destinataires lisent le message et 11 pour cent vont jusqu'à ouvrir la pièce jointe. L'hameçonnage semble particulièrement efficace dans les départements communication, juridiques et clients des entreprises. Précisément là où sont généralement gérées de grandes quantités d'emails et de pièces jointes. Selon l'étude, les attaques internes augmentent par rapport aux attaques externes – particulièrement quand il s'agit de vol de propriété intellectuelle.

Les infractions les plus répandues

Une étude réalisée par KPMG apporte un éclairage au sujet des crimes informatiques dans l'industrie. Par rapport à l'étude préliminaire de 2013, les sondés étaient beaucoup plus enclins à être victimes de crimes informatiques. Ces deux dernières années, 40 pour cent des entreprises ont été affectées, en 2013, seulement 27 pour cent. Cela représente une augmentation de 50 pour cent. Les services financiers sont ceux qui ont le plus souvent affaire aux incidents liés aux crimes informatiques. 55 pour cent des représentants de cette industrie ont déclaré qu'ils avaient été attaqués au moins une fois. Par rapport à d'autres segments où seulement 33 pour cent ont déclaré être affectés. Les services financiers s'avèrent ainsi particulièrement attractifs pour les potentiels assaillants. Les types de crimes les plus courants selon l'étude de KPMG sont les suivants :

• Arnaque informatique : Actions frauduleuses tirant profit des informations et des technologies de communication via la manipulation des systèmes de traitement de données,

• Espionnage ou interception des données : Enregistrement non autorisé, écoute et surveillance des données en cours de transmission (par exemple par l'intermédiaire d’envois d'emails, de messagerie instantanée, de trafic sur le réseau, de téléphonie IP), et également de conversations « naturelles » sur les médias techniques,

• Manipulation des comptes et des données financières : Modification non autorisée des informations de compte et des données financières dans les systèmes de compte ou de paiement,

• Vol de données : Acquisition non autorisée des données,

• Violation de copyright : Violation des droits d'exploitation de données électroniques sous copyright (par exemple, créer une copie illégale et utiliser des programmes logiciels et le contenu de supports audiovisuels),

• Violation de secrets commerciaux ou industriels : Appropriation et divulgation non autorisées d'informations confidentielles ou secrètes concernant l'entreprise et/ou d'associés utilisant des technologies de l'information,

• Dégâts sur le système ou sabotage informatique : Interruption des structures de traitement de données, par exemple en endommageant ou en manipulant les ordinateurs, les réseaux ou les médias,

• Chantage : Chantage avec menace d'actions informatiques criminelles.

Conclusion

La violation des données et le crime informatique sont déjà connus des entreprises et des utilisateurs. Cependant, la plupart des personnes sondées n'ont pas encore traité ces problèmes de manière adéquate. Beaucoup d'incertitudes sont en lien avec les obligations en matière de changements financiers, juridiques et de conformité dans le secteur de la sécurité informatique. Un des objectifs pour les entreprises serait d'offrir un équilibre satisfaisant entre l'investissement dans la prévention/la détection et une réaction adaptée à la violation des données, aux attaques informatiques et à la gestion des dégâts inévitables. En premier lieu, l’accent devrait être mis sur la création d'un pack adapté de mesures et d'outils liés aux dispositions face aux risques des entreprises.