{"id":7933,"date":"2019-02-14T10:00:31","date_gmt":"2019-02-14T09:00:31","guid":{"rendered":"http:\/\/www.ab-consulting.fr\/blog?p=7933"},"modified":"2019-02-13T22:27:06","modified_gmt":"2019-02-13T21:27:06","slug":"violations-de-donnees-gouffre-financier","status":"publish","type":"post","link":"http:\/\/www.ab-consulting.fr\/blog\/securite\/violations-de-donnees-gouffre-financier","title":{"rendered":"Violations de donn\u00e9es : un gouffre financier \u00e9vitable?"},"content":{"rendered":"

Comme chaque ann\u00e9e depuis 13 ans, IBM vient de publier son rapport sur les co\u00fbt des violations de donn\u00e9es. Cette ann\u00e9e, le co\u00fbt moyen des violations de donn\u00e9es dans le monde est en hausse de 6,4% par rapport \u00e0 l\u2019ann\u00e9e pr\u00e9c\u00e9dente. Il atteint d\u00e9sormais 3,86 millions de dollars (environ 3,4 millions d’euros). Le co\u00fbt moyen de chaque enregistrement perdu ou vol\u00e9 contenant des informations sensibles et confidentielles a \u00e9galement augment\u00e9 de 4,8% par rapport \u00e0 l\u2019ann\u00e9e derni\u00e8re pour atteindre 148 $ (soit environ 130 euros). Ce sont des sommes consid\u00e9rables. Imaginez le co\u00fbt de la violation de donn\u00e9es qui a affect\u00e9 les h\u00f4tels Marriott fin 2018<\/a>. 500 millions d’enregistrements de donn\u00e9es personnelles de clients ont \u00e9t\u00e9 affect\u00e9es!!\u00a0<\/em><\/p>\n

\"Violations
Cr\u00e9dit \u00a9 rawpixel.com 2019<\/figcaption><\/figure>\n

Dans cet article, je vous explique comment on \u00e9value ces co\u00fbts et comment essayer de les r\u00e9duire. Cela vous permettra \u00e9galement d’identifier les impacts auxquels vous devez vous attendre lorsque cela vous arrivera. Vous remarquez que je n’ai pas dit \u00ab\u00a0si cela vous arrive\u00a0\u00bb. En effet, cela vous arrivera \u00e0 coup s\u00fbr. Voyons donc les enjeux de s\u00e9curit\u00e9 de l’information auxquels vous devez faire face…<\/p>\n

Le temps c’est de l’argent<\/h2>\n

Beaucoup connaissent l’adage selon lequel \u00able temps, c’est de l’argent\u00bb. C’est un conseil judicieux pour quiconque soumis \u00e0 un stress persistant dans sa vie professionnelle (et personnelle). Cela s’applique \u00e9galement aux violations de donn\u00e9es. L’\u00e9tude 2018 sur le co\u00fbt des violations de donn\u00e9es, r\u00e9alis\u00e9e par IBM \/ Ponemon Institute<\/a>, est un guide indispensable \u00e0 l’intention des CISO<\/a> (Responsables de la S\u00e9curit\u00e9 de l’Information), des CPO (responsables de la protection de la vie priv\u00e9e), des DPO (responsables de la protection des donn\u00e9es), des gestionnaires de risques et des consultants. Elle leur permet de mieux g\u00e9rer leurs cyber-risques et les co\u00fbts concomitants en cas d’infraction aux r\u00e9glementations (RGPD par exemple<\/a>).<\/p>\n

Le rapport souligne le co\u00fbt \u00e9lev\u00e9 des violations de donn\u00e9es. Dans le m\u00eame temps, souvent, les responsables de la cybers\u00e9curit\u00e9 ignorent si ou quand de telles violations ont lieu dans leurs r\u00e9seaux. Certains gardent la t\u00eate dans le sable et ne privil\u00e9gient pas suffisamment la d\u00e9tection comme moyen de connaissance. Les r\u00e9glementations r\u00e9centes en mati\u00e8re de confidentialit\u00e9 exigent le signalement en temps voulu d’une violation de donn\u00e9es lorsque le Responsable du Traitement en a connaissance. Cela peut peut-\u00eatre amener certains \u00e0 penser qu’\u00e9viter de conna\u00eetre une violation est une bonne strat\u00e9gie. Cela permettrait de r\u00e9duire les co\u00fbts associ\u00e9s aux rapports.<\/p>\n

Une mauvaise strat\u00e9gie des entreprises<\/h3>\n

H\u00e9las, cette \u00abstrat\u00e9gie de l’autruche\u00bb n’est pas seulement imprudente et contraire \u00e0 l’\u00e9thique. Elle est bien plus co\u00fbteuse pour les organisations. Elle peut m\u00eame s’av\u00e9rer catastrophique. Une d\u00e9tection plus rapide des violations de donn\u00e9es peut r\u00e9duire consid\u00e9rablement les pertes. N’oubliez jamais que les pirates de frappent pas d’un seul coup. Ils ont tout leur temps. Et plus vous tardez \u00e0 r\u00e9agir, plus ils auront de temps pour commettre des d\u00e9g\u00e2ts.<\/p>\n

Si nous reprenons le cas de la violation de donn\u00e9es qui a touch\u00e9 les h\u00f4tels Marriott. C’est le 19 Novembre 2018 que l’investigation a permis de d\u00e9terminer qu’une violation avait eu lieu. Apparemment un outil avait d\u00e9j\u00e0 alert\u00e9 sur un acc\u00e8s non autoris\u00e9 d\u00e8s le 8 septembre. Cela repr\u00e9sente plus de 60 jours de d\u00e9lai. Mais cette attaque avait probablement d\u00e9marr\u00e9 bien avant septembre 2018.<\/p>\n

La cha\u00eene cyber-criminelle peut prendre un temps extr\u00eamement long. Je vous invite \u00e0 bien la comprendre. Elle est d\u00e9crite de fa\u00e7on d\u00e9taill\u00e9e dans un de mes articles r\u00e9cents sur les tests de p\u00e9n\u00e9tration.<\/a><\/p>\n

Le co\u00fbt stup\u00e9fiant des violations de donn\u00e9es<\/h2>\n

En 2018, dans le monde, le co\u00fbt moyen d\u2019une violation de donn\u00e9es hausse de 6,4% par rapport \u00e0 l\u2019ann\u00e9e pr\u00e9c\u00e9dente. Il s\u2019\u00e9l\u00e8ve d\u00e9sormais \u00e0 3,86 millions de dollars (3,4 millions d’euros). Ces statistiques devraient \u00eatre tr\u00e8s pr\u00e9occupantes. Et elles ne repr\u00e9sentent que les co\u00fbts tangibles d’une violation. Ce montant ne prend notamment pas en compte les co\u00fbts des amendes r\u00e9glementaires. Par cons\u00e9quent, les chiffres figurant dans ce rapport doivent \u00eatre consid\u00e9r\u00e9s comme une limite basse. Les autres co\u00fbts potentiels comprennent les frais li\u00e9s aux litiges, les amendes pour non-conformit\u00e9 r\u00e9glementaire et les pertes de revenus dues aux clients qui quittent l’entreprise \u00e0 la suite d’une violation. Les entreprises investissent massivement dans les produits de cybers\u00e9curit\u00e9 et les services professionnels. Alors, pourquoi le co\u00fbt des violations de donn\u00e9es ne diminue-t-il pas? La question m\u00e9rite d’\u00eatre pos\u00e9e.<\/p>\n

Des moyens insuffisants mis en oeuvre<\/h3>\n

Chaque nouvelle r\u00e9glementation relative \u00e0 la protection des donn\u00e9es personnelles appelle \u00e0 prendre des \u00abmesures de s\u00e9curit\u00e9 appropri\u00e9es\u00bb.\u00a0C’est le cas notamment du r\u00e8glement g\u00e9n\u00e9ral europ\u00e9en sur la protection des donn\u00e9es (RGPD) ou de la loi am\u00e9ricaine sur la protection des renseignements personnels des consommateurs (CCPA). Les entreprises ne prennent en g\u00e9n\u00e9ral\u00a0ces mesures de s\u00e9curit\u00e9 de l’information que pour \u00e9viter des amendes dissuasives. Et par souci de facilit\u00e9 et d’\u00e9conomie, elles se limitent \u00e0 s’appuyer sur des outils informatiques facilement accessibles. \u00a0C’est h\u00e9las tr\u00e8s insuffisant. Elles ne mettent pas en oeuvre les actions n\u00e9cessaires pour pr\u00e9venir la violations r\u00e9sultant d’erreurs humaines. J’ai rarement vu des actions de formation de masse portant sur l’ensemble du personnel. C’est g\u00e9n\u00e9ralement consid\u00e9r\u00e9 comme trop co\u00fbteux et trop lourd.<\/p>\n

Des r\u00e9glementations qui ne vont pas assez loin<\/h3>\n

L’aspect le plus frustrant de ces nouvelles r\u00e9glementations est que la responsabilit\u00e9 des donn\u00e9es incombe au responsable du traitement. Cela signifie qu\u2019une organisation est responsable de la protection de ses donn\u00e9es, peu importe avec qui les donn\u00e9es sont partag\u00e9es et comment les donn\u00e9es sont trait\u00e9es. Cela vaut \u00e9galement une fois qu\u2019elles ne sont plus sous son contr\u00f4le. Les obligations contractuelles d’un fournisseur tiers de s\u00e9curiser les donn\u00e9es une fois qu’il y a acc\u00e8s r\u00e9sultent du contrat entre le responsable du traitement et son sous-traitant.<\/p>\n

Le RGPD, impose que de tels accords soient sign\u00e9s. Cependant, il place l’enti\u00e8re responsabilit\u00e9 sur l’organisation d’origine en tant que responsable des pertes de donn\u00e9es. Les amendes encourues peuvent atteindre jusqu’\u00e0 de 4% du chiffre d’affaires mondial annuel, ou 20 millions d’euros par violation. Alors, peut-\u00eatre que les meilleures pratiques \u00abraisonnables\u00bb ne suffisent pas. Peut-\u00eatre que la technologie li\u00e9e \u00e0 la cybers\u00e9curit\u00e9 n’est pas utilis\u00e9e pour s’attaquer au bon probl\u00e8me.<\/p>\n

Meilleure d\u00e9tection et meilleure r\u00e9ponse<\/h2>\n

Le d\u00e9lai moyen moyen d\u2019identification d\u2019une violation est maintenant de 197 jours. Cela repr\u00e9sente une l\u00e9g\u00e8re am\u00e9lioration par rapport \u00e0 l\u2019ann\u00e9e pr\u00e9c\u00e9dente. Cependant ce d\u00e9lai reste beaucoup trop long. Imaginez-vous vivre avec un voleur chez vous qui d\u00e9robe tout ce qui a de la valeur pendant 197 jours? 197 jours pendant lesquels vous ne vous apercevez de rien?<\/p>\n

Consid\u00e9rez le comportement typique des attaquants. Je l’ai d\u00e9crit en d\u00e9tail dans mon pr\u00e9c\u00e9dent article \u00ab\u00a0Tests de p\u00e9n\u00e9tration : n\u00e9cessaires mais pas suffisants<\/a>\u00ab\u00a0. C’est ce qu’on appelle la cha\u00eene cyber-criminelle. \u00a0Ils suivent une m\u00e9thodologie \u00e9prouv\u00e9e. Cela commence par la reconnaissance pour localiser leur cible et identifier les points d\u2019entr\u00e9e. Vient ensuite la premi\u00e8re entr\u00e9e (g\u00e9n\u00e9ralement par les utilisateurs du harponnage au sein de la cible choisie). Une fois qu\u2019ils ont r\u00e9ussi \u00e0 voler les informations d\u2019identit\u00e9 d\u2019un utilisateur l\u00e9gitime, ils s’installent pour \u00e9tablir le contr\u00f4le pendant de longues p\u00e9riodes. Ils se d\u00e9placent lat\u00e9ralement, recherchant d’autres informations d’identification, serveurs, journaux, fichiers et documents qu’ils souhaitent. Les documents et les donn\u00e9es sont regroup\u00e9s et exfiltr\u00e9s \u00e0 l’aide de protocoles courants. Ils utilisent aussi des sites tiers qui servent de serveurs de transfert \u00e0 partir desquels ils peuvent t\u00e9l\u00e9charger leurs biens vol\u00e9s. Le fait d\u2019avoir pris pied permet l\u2019exfiltration de donn\u00e9es \u00e0 long terme \u00e0 un rythme adapt\u00e9 \u00e0 leurs besoins.<\/p>\n

Et ce qui est le plus frappant, c’est que tout cela se d\u00e9roule \u00e0 l’insu de l’organisation cible.<\/p>\n

L’utilisation de leurres est-elle efficace?<\/h3>\n

La plupart des approches de d\u00e9tection de fraude passent \u00e0 c\u00f4t\u00e9 de la cible en mati\u00e8re de d\u00e9tection pr\u00e9coce. Une vari\u00e9t\u00e9 de soci\u00e9t\u00e9s de technologie de d\u00e9tection de fraude vantent les r\u00e9seaux de miel (honeynets en anglais) permettant une d\u00e9tection pr\u00e9coce. En gros, il s’agit de leurres qui vont agir comme des pi\u00e8ges \u00e0 pirates. Je vous invite \u00e0 consulter cet article sur le blog du hacker<\/a> pour mieux comprendre leur fonctionnement. On installe les honeynets \u00e0 c\u00f4t\u00e9 de serveurs op\u00e9rationnels. Et les attaquants ne seraient attir\u00e9s par ces honeynets que s\u2019ils y \u00e9taient conduits. On prend soin d’emp\u00eacher les utilisateurs ordinaires de se connecter \u00e0 des r\u00e9seaux de miel. Sinon, les fausses alarmes auraient un impact n\u00e9gatif sur les affaires. Et, au moment o\u00f9 un attaquant est tomb\u00e9 dans un leurre (en anglais honeypot), il aura d\u00e9j\u00e0 avoir effectu\u00e9 une recherche sur le r\u00e9seau op\u00e9rationnel et probablement d\u00e9j\u00e0 vol\u00e9 son butin. Malheureusement, cette approche est inefficace pour d\u00e9tecter et r\u00e9agir aux violations de donn\u00e9es.<\/p>\n

Il existe \u00e9galement des technologies \u00e9mergentes de capteurs qui offrent une meilleure solution. On les d\u00e9ploie directement dans l’environnement op\u00e9rationnel. Par exemple, des capteurs de perte de donn\u00e9es peuvent \u00eatre g\u00e9n\u00e9r\u00e9s automatiquement, des documents leurres hautement cr\u00e9dibles avec des balises incorpor\u00e9es plac\u00e9es de mani\u00e8re strat\u00e9gique dans des dossiers, des r\u00e9pertoires ou des partages tiers afin d’inciter les pirates \u00e0 les ouvrir et d’alerter les \u00e9quipes de s\u00e9curit\u00e9 sur les violations \u00e0 un stade pr\u00e9coce.<\/p>\n

Des pistes pour am\u00e9liorer la d\u00e9tection<\/h3>\n

L’absence de donn\u00e9es de recherche r\u00e9elles et \u00e0 grande \u00e9chelle sur le monde r\u00e9el a emp\u00each\u00e9 la mise au point de syst\u00e8mes de d\u00e9tection d’intrusion (IDS) efficaces pouvant arr\u00eater une attaque d\u00e8s le d\u00e9but de son cycle de vie. La plupart des organisations confront\u00e9es \u00e0 ce type d’attaques pr\u00e9f\u00e8rent ne pas les annoncer publiquement pour des raisons de responsabilit\u00e9 et de confidentialit\u00e9.<\/p>\n

Soixante-douze pour cent des incidents r\u00e9sultant des menaces internes (insiders en anglais) survenus dans les \u00e9tablissements sond\u00e9s ont \u00e9t\u00e9 trait\u00e9s en interne. Aucune action judiciaire ni intervention de la police n’est intervenue. Seulement 13% des incidents issus de menaces internes ont \u00e9t\u00e9 trait\u00e9s en interne mais ont donn\u00e9 lieu \u00e0 des poursuites judiciaires. L\u2019annonce de telles attaques peut \u00e9galement avoir des cons\u00e9quences sur les parts de march\u00e9 d’une entreprise. Pour ces m\u00eames raisons, les victimes d’infractions sont encore moins susceptibles de partager des donn\u00e9es r\u00e9elles qui pourraient \u00eatre utilis\u00e9es pour \u00e9tudier de telles attaques avec le monde de la recherche.<\/p>\n

Les attaques de mascarade<\/h3>\n

Une attaque courante est la mascarade ou usurpation d’identit\u00e9 (en anglais, masquerade). Elle consiste \u00e0 tromper les m\u00e9canismes d\u2019authentification pour se faire passer pour un utilisateur autoris\u00e9, de fa\u00e7on \u00e0 obtenir des droits d\u2019acc\u00e8s ill\u00e9gitimes et ainsi compromettre la confidentialit\u00e9, l\u2019int\u00e9grit\u00e9 ou la disponibilit\u00e9. Un cas particulier de d’usurpation d’identit\u00e9 consiste pour un attaquant \u00e0 \u00ab forger \u00bb de fausses adresses d\u2019origine pour les messages qu\u2019il \u00e9met. Dans ce cas, nous parlons alors plus particuli\u00e8rement de spoofing (litt\u00e9ralement, parodie) d\u2019adresse. Ce d\u00e9guisement est, par exemple, tr\u00e8s facile \u00e0 r\u00e9aliser sur le r\u00e9seau Internet, puisqu\u2019il n\u2019y a pas d\u2019authentification sur les adresses IP.<\/p>\n

L\u2019\u00e9tude des attaques par mascarade souffre \u00e9galement de la raret\u00e9 des donn\u00e9es r\u00e9elles, malgr\u00e9 leur importance. Trente-cinq pour cent des dirigeants et des membres des autorit\u00e9s publiques ont vu leurs informations, syst\u00e8mes et r\u00e9seaux utilis\u00e9s sans autorisation. Les attaques de mascarade se classent au deuxi\u00e8me rang des cinq principaux cyber-crimes perp\u00e9tr\u00e9s par des personnes ext\u00e9rieures, juste apr\u00e8s les virus, les vers et autres vecteurs d’attaque malveillants.<\/p>\n

L’exp\u00e9rience de la DARPA<\/h3>\n

L’essentiel de cette exp\u00e9rience est le suivant. Les imposteurs, tout comme les voleurs qui s’introduisent dans une maison, doivent collecter des informations sur l’environnement dans lequel ils viennent d’entrer. Ils doivent en savoir plus sur leur domicile, rechercher des objets de valeur \u00e0 voler et empaqueter des donn\u00e9es pour les exfiltrer. Cette activit\u00e9 pr\u00e9coce est essentielle pour d\u00e9tecter leur activit\u00e9 n\u00e9faste. Par cons\u00e9quent, le fait de placer les capteurs qui agissent comme des fils de d\u00e9clenchement dans les dossiers et les r\u00e9pertoires les plus susceptibles d’\u00eatre recherch\u00e9s dans le cadre d’une attaque sert de m\u00e9canisme de d\u00e9tection.<\/p>\n

L’efficacit\u00e9 de l’utilisation de capteurs int\u00e9gr\u00e9s dans des documents comme moyen de d\u00e9tecter la perte de donn\u00e9es a \u00e9t\u00e9 prouv\u00e9e par une \u00e9tude scientifique parrain\u00e9e par la DARPA. L’\u00e9tude a mesur\u00e9 les vrais et faux positifs et les vrais n\u00e9gatifs. Dans le cadre de l\u2019\u00e9tude, 39 imposteurs individuels, tous s\u00e9lectionn\u00e9s pour leur connaissance approfondie et sophistiqu\u00e9e de l\u2019informatique et des syst\u00e8mes en g\u00e9n\u00e9ral, ont \u00e9t\u00e9 autoris\u00e9s \u00e0 acc\u00e9der \u00e0 un syst\u00e8me comme s\u2019ils avaient d\u00e9j\u00e0 r\u00e9ussi \u00e0 voler les r\u00e9f\u00e9rences n\u00e9cessaires. Les imposteurs ont ensuite \u00e9t\u00e9 inform\u00e9s que leur travail consistait \u00e0 voler des informations sensibles dans le syst\u00e8me en exploitant les informations d’identification qui leur \u00e9taient fournies. L’\u00e9tude a suivi une m\u00e9thodologie prescrite et statistiquement valide selon laquelle les imposteurs \u00e9taient inform\u00e9s du type d’informations \u00e0 voler, mais non de la mani\u00e8re de les voler. Ils ont \u00e9t\u00e9 laiss\u00e9s \u00e0 eux-m\u00eames pour trouver et exfiltrer leur butin.<\/p>\n

Dans cette \u00e9tude, l\u2019utilisation strat\u00e9gique de capteurs pour d\u00e9tecter le moment o\u00f9 les documents ont \u00e9t\u00e9 consult\u00e9s a permis:<\/p>\n