in

L’étude Beazley Breach Insights 2016 révèle une forte hausse du piratage informatique et des logiciels malveillants

Les secteurs de la santé, des services financiers et de l’enseignement supérieur sont particulièrement vulnérables

Beazley, assureur de premier plan spécialisé dans les interventions en cas de violation de données personnelles, a publié les résultats de son étude Beazley Breach Insights 2016, fondée sur la réponse apportée à plus de 2000 violations au cours des deux dernières années. En 2015, les interventions de l’unité spécialisée Beazley Breach Response (BBR) Services suite à des violations de données personnelles ont augmenté de 60 % par rapport à 2014. Les incidents se sont concentrés dans les secteurs de la santé, des services financiers et de l’enseignement supérieur.

Chiffres clés

  • Les violations résultant d’un piratage informatique ou de logiciels malveillants (malware) ont pratiquement doublé par rapport à l’année passée. En 2015, 32 % des incidents ont été causés par un piratage ou un logiciel malveillant, contre 18 % en 2014 ;
  • La divulgation involontaire de documents (par exemple un courrier électronique envoyé au mauvais destinataire) représentait 24 % de toutes les violations en 2015, en recul par rapport à 2014 (32 %) ;
  • La perte de documents physiques non électroniques représentait 16 % de toutes les violations en 2015 (comme en 2014) ;
  • La proportion des violations impliquant des fournisseurs indépendants a plus que triplé sur la même période, passant de 6 % de violations en 2014 à 18 % en 2015.

Les statistiques de violations de données personnelles élaborées par Beazley reposent sur 777 incidents en 2014 et 1249 en 2015.

Katherine Keefe, directrice mondiale de BBR Services, a déclaré : « Nous avons constaté une hausse significative des incidents résultant d’un piratage informatique ou de logiciels malveillants l’année passée. Le secteur de la santé a été particulièrement touché, le pourcentage de cas de violation de données personnelles dus au piratage informatique ou à des logiciels malveillants ayant plus que doublé ».

« Rançongiciels » en forte croissance dans la santé

Les hackers utilisent de plus en plus souvent des rançongiciels (ou ransomware) pour verrouiller les données d’une organisation. Ils détiennent ces données jusqu’au paiement d’une rançon en bitcoins, monnaie virtuelle pratiquement intraçable. Le Hollywood Presbyterian Hospital de Los Angeles a déclaré avoir été victime d’une attaque de rançongiciel en février 2016 et a fini par verser 17 000 dollars en bitcoins aux hackers. Un an plus tôt, le FBI avait donné l’alerte sur la recrudescence des attaques de rançongiciels.

Les données de Beazley confirment cette tendance. Chez ses clients, les violations impliquant des rançongiciels ont plus que doublé pour atteindre le nombre de 43 en 2015, et la tendance semble s’accélérer en 2016. D’après les chiffres des deux premiers mois de l’année, les attaques de rançongiciels devraient connaître une hausse de 250 % en 2016.

« Il apparaît clairement que les nouveaux logiciels malveillants, notamment les rançongiciels, ont un impact considérable », affirme Paul Nikhinson, responsable des services d’intervention en cas de violation de la vie privée au sein de BBR Services. « Le piratage informatique ou les logiciels malveillants ont été la principale cause de violation de données personnelles dans le secteur de la santé en 2015, représentant 27 % de la totalité des violations, soit davantage que les pertes physiques (20 %). »

Il ajoute : « La santé est une cible privilégiée pour les hackers en raison de l’intérêt que revêtent les dossiers médicaux pour l’usurpation d’identité et d’autres infractions. En effet, la valeur d’un dossier médical est 16 fois supérieure à celle d’informations de carte bancaire. »

Enseignement supérieur

L’enseignement supérieur a également connu une hausse des violations dues au piratage informatique ou à des logiciels malveillants, soit 35 % des incidents en 2015, contre 26 % en 2014.

Les universités déclarent une hausse du nombre d’incidents d’hameçonnage ciblé (spear phishing) : les hackers envoient des courriers électroniques personnalisés qui semblent légitimes contenant des liens ou des pièces jointes dommageables. La nature relativement ouverte des systèmes informatiques des campus, l’utilisation massive des réseaux sociaux par les étudiants et le manque de contrôles restrictifs (fréquemment mis en place dans les entreprises) rendent les établissements d’enseignement supérieur particulièrement vulnérables aux violations de données personnelles.

Services financiers

Dans le secteur des services financiers, le piratage informatique ou les logiciels malveillants ont connu une croissance modeste et atteignent 27 % des violations de données personnelles du secteur en 2015, contre 23 % en 2014. D’après les données de Beazley, les chevaux de Troie restent un outil privilégié chez les hackers.

Cinq étapes à suivre pour protéger les données des organisations

La réussite des attaques tient souvent à l’exploitation de systèmes mal configurés ou de l’erreur humaine, notamment lorsque des employés sont incités à répondre à des courriers électroniques de type « phishing ». Voici cinq étapes à suivre pour protéger les données des organisations :

  1. Sensibiliser les employés aux informations qu’ils doivent protéger (données personnelles et données de santé protégées) et les former pour éviter les attaques d’hameçonnage et autres formes d’ingénierie sociale ;
  2. Élaborer un plan d’intervention renforcé en cas d’incident. Les violations de données personnelles ne peuvent pas être gérées à la volée. Une planification anticipée peut permettre d’éviter un grave préjudice financier ou en termes de réputation. Un plan d’intervention en cas d’incident bien conçu et éprouvé doit guider la direction à travers le cycle de vie d’une violation : de la suspicion initiale à la procédure d’expertise, de conseil juridique, de communication aux clients et d’assistance en relations publiques ;
  3. Catégoriser les risques potentiels associés aux données par degré de menace. Une réaction excessive face à une violation peut s’avérer aussi préjudiciable qu’une réaction insuffisante ;
  4. Étudier attentivement les contrats des fournisseurs afin de s’assurer que les données de vos clients sont bien protégées lorsqu’elles se trouvent entre les mains de fournisseurs ou de distributeurs ;
  5. Chiffrer les données, notamment sur les appareils mobiles, les ordinateurs portables et les disques durs, qui sont les plus susceptibles d’être égarés.
Corinne
Corinne

Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès. Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication. Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.

Written by Corinne

Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès.
Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication.
Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.