Nos données personnelles ont une valeur : protégeons-les !
Les données numériques personnelles représentent une valeur fonctionnelle pour l’entreprise car elles permettent de communiquer avec les clients, les fournisseurs et toutes les parties-prenantes.
Mais elles ont aussi une valeur marchande pour les cybercriminels, qui rivalisent d’inventivité pour les bloquer ou les voler, mettant en danger la santé financière de l’entreprise et sa réputation.
Les données numériques :
indispensables à la vie de l’entreprise
Selon la CNIL, une « donnée personnelle » se définit comme « toute information se rapportant à une personne physique identifiée ou identifiable » .
Cette notion s’entend donc de façon très large. Notons que l’identification d’une personne physique peut être réalisée à partir d’une seule donnée : le numéro de sécurité sociale en est un bon exemple.
Sans accès à ses bases de données comptables et commerciales, l’entreprise est paralysée. C’est à partir de ce constat que les pirates cherchent à pénétrer dans le système d’une société, afin de chiffrer ses données informatiques, puis de demander une rançon en échange de la clé de déchiffrement. On parle de ransomware ou logiciel rançonneur. Ce type de cyberattaques est très répandu. Ce n’est pas du vol de données à proprement parler, même si certains cybercriminels exfiltrent parfois les données internes de leur cible, afin d’augmenter leur pression en menaçant de les publier.
« Ce type d’attaque peut mener une entreprise à la faillite ; pourtant c’est évitable si on anticipe avec quelques règles simples de protection et de sauvegarde externe ».
Le vol des données :
une menace pour les entreprises de toutes tailles
L’un des modes opératoires les plus fréquents est le phishing (ou hameçonnage). En se faisant passer pour un tiers de confiance, les pirates incitent l’internaute à communiquer des données personnelles ou bancaires. Il peut s’agir d’un faux courriel, mais les canaux sont de plus en plus diversifiés : SMS ou appel téléphonique de banque, de réseau social, d’opérateur de téléphonie, de fournisseur d’énergie, de site de commerce en ligne, d’administrations, etc.
Les attaquants peuvent également exploiter toute faille de sécurité (mots de passe trop simples ou inchangés) et tout défaut de configuration d’un équipement.
Ces procédés frauduleux peuvent viser des entreprises, des administrations, des hôpitaux (car les données de santé sont particulièrement sensibles) mais aussi des particuliers, des PME, des TPE…
Laurent Demerens précise : « il faut savoir que plus de 70% des attaques sont non ciblées. Les cybercriminels frappent au hasard, ils testent un très grand nombre d’adresses IP publiques ». Personne n’est épargné !
Un exemple récent : le malware Brokewell
Des chercheurs de la société ThreatFabric ont alerté en avril 2024 sur un nouveau virus Android. Nommé Brokewell, celui-ci prend la forme d’une fausse mise à jour de Google Chrome pour infecter votre smartphone. Une fois lancé, il est capable de récupérer vos données de connexion et autres données sensibles, voire de prendre le contrôle à distance de votre appareil.
« Les cyberattaques sont de plus en plus sophistiquées : il y a toujours eu une course de vitesse entre pirates et professionnels de la cybersécurité mais le rythme s’est encore accéléré avec les IA ! Par exemple, les pratiques de deepfake, de phishing, d’ingénierie sociale comme l’arnaque au président et le spoofing seront désormais plus crédibles et donc atteindront plus facilement leurs cibles.»
Avec les données dérobées, les cybercriminels peuvent ensuite effectuer des virements bancaires à leur profit, mais aussi revendre ces informations sur le Dark web.
Comment fonctionne le Dark web ?
Contrairement au web visible de tous et au Deep web non indexé mais tracé et accessible via des réseaux privés ou gouvernementaux, le Dark web est quant à lui constitué de sites, de marchés et d’autres services en ligne qui sont volontairement dissimulés via des systèmes de cryptage élaborés.
Ainsi, entre l’adresse IP de l’internaute et l’adresse IP du site qu’il consulte, le trafic rebondit dans un « circuit cryptographique » d’ordinateurs appelés relais, ce qui complique considérablement la surveillance et l’identification des utilisateurs. On parle de « routage en oignon », en référence aux différentes couches de protection visant à garantir la confidentialité des usagers.
Initialement conçu pour les services d’espionnage, le Dark web est aussi utilisé par des journalistes et des lanceurs d’alerte afin de garantir l’anonymat de leurs sources. Mais il est rapidement devenu le lieu de tous les trafics illégaux comme la drogue, les armes et… les données personnelles.
Combien se vendent les données personnelles sur le Dark web ?
Selon le pool de chercheurs en cybersécurité de Privacy Affairs, voici le prix de vente moyen des données personnelles en 2023 sur le marché illicite :
- Les données de carte bancaire se revendent en moyenne 33,50 $. Ce prix peut monter jusqu’à 110 $ pour un solde de compte de 5 000 $ ou plus.
- Les données concernant les services de traitement des paiements se revendent, en moyenne, à 622 $. Les identifiants des comptes bancaires sont les plus chers, pouvant aller jusqu’à 4 255 $.
- Les données relatives aux réseaux sociaux se vendent en moyenne 13 $.
- Les identifiants d’un compte Gmail peuvent se revendre autour de 60 $.
Sur les marketplaces du Dark web, on peut également trouver des packs « Fullz » regroupant différentes informations personnelles, comme la date de naissance, le numéro de sécurité sociale, de permis de conduire ou de carte de crédit d’une même personne.
Ces packs peuvent ensuite être utilisés pour des usurpations d’identités ou des fraudes élaborées (SIM hijacking par exemple).
Focus sur la directive européenne NIS 2
Face à la multiplication des cybermenaces, les autorités européennes ont réagi afin de renforcer le niveau de cybersécurité des tissus économique et administratif des pays membres de l’UE. Dans un premier temps, la directive NIS 1 a vu le jour : elle ne concerne que quelques centaines d’entités en France, parmi les plus sensibles.
Votée en novembre 2022, la directive NIS 2 s’appliquera à beaucoup plus d’entités (plus de 10 000), réparties en deux catégories selon leur degré de criticité, leur taille et leur chiffre d’affaires :
– les entités essentielles (EE),
– les entités importantes (EI).
Lorsque les décrets d’application seront publiés, les organisations concernées (administrations de toutes tailles et entreprises allant des PME aux groupes du CAC40) devront répondre aux exigences de la norme, parmi lesquelles la fourniture de certaines informations à l’ANSSI, la mise en place de mesures adaptées face aux risques et la déclaration des incidents de sécurité. Les hébergeurs de données sont bien entendu particulièrement visés par NIS 2.
Les cybermenaces relatives au blocage ou au vol de données concernent tous les acteurs de la société, particuliers et professionnels, entreprises de toutes tailles. Les mesures de protection à mettre en œuvre ne sont pas les mêmes pour tous, mais la culture de la cyberprotection doit être diffusée le plus largement possible. Pour favoriser les bons réflexes de prévention et de protection !
Hélène Buisson – hbsolutionscomm.com
Vous souhaitez connaitre les bonnes pratiques et solutions à mettre en œuvre au quotidien contre les risques cyber ?
Digital Bay organise le 14 novembre à la pépinière de Chef de Baie une soirée consacrée aux cyberattaques, inscrivez-vous.