Cette année, nous avons vu une longue liste d’organisations ayant subi des violations de données. Il y a toujours des leçons importantes à tirer de tels événements et, dans cet article, nous examinerons de plus près deux violations qui se sont produites en l'espace de quinze jours en août. À savoir, la brèche du site de vente de billets d'eBay, StubHub, et les bookmakers en ligne, Paddy Power.

Dans le premier cas, et ce qui est typique de presque toutes les violations, ce qui les unit, c’est que des informations personnellement identifiables ont été volées - y compris les noms des clients, noms d’utilisateur, adresses, adresses électroniques, numéros de téléphone et dates de naissance..

Une violation mène à une autre

Mais ce qui distingue l’infraction StubHub, c’est que ce compromis n’est pas dû aux assauts des serveurs de la société, mais que les pirates ont utilisé les informations de connexion et les mots de passe obtenus lors d’attaques antérieures pour obtenir un accès au réseau. Il y a eu de nombreux avertissements selon lesquels les données personnelles saisies dans un seul vol peuvent être utilisées pour concevoir d'autres cyber-attaques plus insidieuses d'ingénierie sociale, et cette violation confirmait une telle éventualité..

C'est également l'une des raisons pour lesquelles la récente révélation selon laquelle un groupe de pirates informatiques russe aurait amassé 1,2 milliard de noms d'utilisateur et de mots de passe est si importante. Le marché noir se développe sur ce type de données.

Dans le cas de Paddy Power, le bookmaker irlandais a révélé que 649 000 clients avaient été touchés par une infraction survenue en 2010. Étant donné qu'il a fallu près de quatre ans avant que l'événement ne se dévoile, il est possible que d'autres cyber- d’attaques devant avoir été lancées avec les données client Paddy Power entre-temps. Cependant, le temps considérable qu’il a fallu pour que les détails de l’incident soient divulgués n’est pas un événement aussi rare que vous pourriez le penser: le site australien des offres quotidiennes, Catch of the Day, a récemment notifié à ses clients un manquement survenu trois ans auparavant..

Considérations de conformité

D'un point de vue de la conformité, ces deux cas renforcent l'urgence de reclasser toutes les données comme "sensibles" et donnent plus de poids au mandat de législation plus stricte en matière de notification des violations. La tendance à la notification des violations de données à caractère personnel est croissante en Europe - par exemple, l'Allemagne et l'Irlande ont toutes deux introduit des exigences plus strictes en matière de notification des violations de données à l'échelle nationale que celles prévues par la directive actuelle sur la protection des données personnelles..

Étant donné que la version la plus récente du projet de règlement européen sur la protection des données stipule que les responsables du traitement des données sont tenus d'informer les autorités compétentes en matière de protection de la vie privée d'une violation dans un délai de 72 heures, les entreprises doivent être prêtes à réagir beaucoup plus rapidement aux violations, ou faire face aux conséquences néfastes.

Dans le cadre de la lutte contre la cybercriminalité, la nécessité de lois obligatoires sur la notification des violations de données souligne non seulement les dangers pour la sécurité de la communauté internationale, mais elle rappelle également aux entreprises que la protection efficace des données leur incombe..

Grosses pénalités

Il convient également de garder à l’esprit que d’autres modifications proposées à la loi menacent d’augmenter les amendes maximales prévues pour les entreprises contrevenantes de 2% à 5% du chiffre d’affaires annuel global de la société. les organisations qui détiennent des données personnelles sous leur responsabilité et auxquelles la réglementation est applicable. La cybercriminalité est une industrie extrêmement sophistiquée et destructrice qui cible des organisations de toutes formes et de toutes tailles, capable de nuire aux marques et d’entraîner des pénalités pénibles en matière de conformité..

Le fait que les incidents de violation de données continuent de faire les manchettes confirme que les entreprises sont toujours très ciblées pour les données des clients. En tant que telles, les organisations doivent commencer à apprécier la valeur de la sensibilité des informations qu'elles collectent. Pour les entreprises qui cherchent à rester en dehors des manchettes en gardant intacts le résultat final et la confiance des consommateurs, il est essentiel de disposer des solutions de sécurité des données appropriées, telles que le cryptage et les contrôles d'accès, associées à des informations de sécurité..

Ce n’est qu’ainsi que les entreprises seront informées du comportement inhabituel ou anormal des utilisateurs et de l’accès réseau le cas échéant, ce qui peut indiquer une attaque externe ou un initié malveillant. Il est important de se rappeler que, outre le groupe de fraudeurs, opportunistes, hacktivistes et syndicats du crime organisé, les «initiés» de confiance peuvent présenter autant de risques que les autres pour les données..

  • Paul Ayers est VP EMEA chez Vormetric.