FR
FR EN DE
Accueil | Les dangers des fuites d'informations nominatives : 7 points clés

Les dangers des fuites d'informations nominatives : 7 points clés

Orlaith Traynor

7 min lire - 2 avril 2024
pii leak_cybelangel_which of the following is responsible for most of the recent pii data breaches

Les informations personnelles identifiables (IPI), ou données personnelles, sont devenues un problème majeur pour tout le monde, qu'il s'agisse d'un individu ou d'une organisation. Et comme de plus en plus d'IPI sont générées et stockées chaque jour, le risque d'exposition d'informations sensibles ne fait qu'augmenter.

Cependant, les gens ont tendance à sous-estimer les dangers de la sécurité des données. Ils peuvent penser que personne ne les prendrait pour cible ou que l'usurpation d'identité est un phénomène rare. Mais en réalité, lorsque la sécurité des informations est compromise, cela peut entraîner toute une série de conséquences juridiques, éthiques et commerciales.

Dans ce guide, vous découvrirez ce que sont les IIP, ainsi que quelques exemples d'incidents réels de sécurité des IIP survenus dans le passé. Vous découvrirez également les meilleures pratiques de cybersécurité pour la protection des données d'IPI.

1. Qu'est-ce que l'IIP ? Que signifie l'acronyme IIP ?

PII est l'abréviation de "Personally Identifiable Information" (informations personnelles identifiables) et désigne les données personnelles de toute personne.

Il s'agit des informations qui peuvent être utilisées pour identifier, contacter ou localiser une personne, soit seules (par exemple le nom ou le numéro de sécurité sociale), soit combinées à d'autres données (par exemple l'entreprise et le poste).

Voici quelques exemples d'informations confidentielles...

  • Identité (nom, date de naissance, signature, sexe, race, situation familiale)
  • Informations sur les contacts (adresse, numéro de téléphone, adresse électronique)
  • Informations professionnelles (emploi, entreprise, poste, date d'embauche, évaluation RH, salaire)
  • Documents administratifs (carte d'identité, numéro de passeport, permis de conduire, numéro de sécurité sociale)
  • Soins de santé (données biométriques, dossiers médicaux)
  • En rapport avec les technologies de l'information (mot(s) de passe, cookies, journaux)

Qu'est-ce qu'une fuite d'informations confidentielles ?

On parle de fuite d'IPI lorsque des informations sensibles sont partagées à l'insu d'une personne ou sans son consentement. Cela peut se produire à la suite d'un piratage, d'une menace interne, d'une violation de données ou d'une divulgation accidentelle, par exemple à cause d'un serveur mal configuré.

Qui peut accéder aux IPI ?

De nombreuses informations sur les IPI sont déjà accessibles au public. Si vous visitez LinkedIn, par exemple, vous pouvez déjà connaître le nom complet d'une personne et les informations relatives à son entreprise. Et vous pouvez facilement trouver un numéro de téléphone dans un annuaire électronique.

Bien entendu, les sources publiques ne mentionnent pas les informations plus sensibles telles que les numéros de passeport et de carte de crédit. Mais lorsque des informations supplémentaires sont recueillies, le profil de la personne devient de plus en plus précieux pour les pirates.

Voici pourquoi.

2. Pourquoi les IIP intéressent-elles les cybercriminels ?

Les IPI sont précieuses pour les cybercriminels car les données personnelles peuvent être utilisées pour établir le profil d'une personne, afin de l'exploiter.

Lorsque vous avez le nom, la fonction, le passeport et le numéro de carte de crédit d'une personne, vous avez tout ce qu'il faut pour vous faire passer pour elle et profiter de ses biens.

Il s'agit généralement d'un gain financier qui permet de cibler à son tour d'autres personnes. Par exemple, les cybercriminels peuvent utiliser les IIP pour :

  1. L'usurpation d'identité : Pour accéder aux finances d'une personne, pour effectuer un achat frauduleux, pour demander une carte de crédit ou un prêt, ou pour commettre d'autres types de fraude.
  2. Ingénierie sociale : Avec les bonnes données personnelles, les cybercriminels peuvent créer des courriels, des messages et des appels téléphoniques convaincants pour manipuler les gens et les inciter à communiquer davantage d'informations personnelles.
  3. Gain financier : Les IIP peuvent être vendues à d'autres cybercriminels sur le dark web. Plus le profil est complet, plus le prix de vente est élevé.
  4. Reprise de compte : Les cybercriminels peuvent utiliser les IIP pour s'emparer de comptes en ligne, tels que les comptes de messagerie, de médias sociaux et de banque. À partir de là, ils peuvent commettre des fraudes et cibler d'autres personnes.
  5. Chantage : Des informations sensibles peuvent être utilisées pour inciter les victimes à payer une rançon, surtout si ces données sont embarrassantes ou compromettantes d'une manière ou d'une autre.

Et comme le monde devient de plus en plus numérisé, le risque de fuites d'informations personnelles, de vol d'informations financières et de cybercriminalité est plus élevé que jamais.

Voyons quelques exemples de ce qui peut se passer.

3. Comment les cybercriminels volent-ils les données PII ?

Les cybercriminels peuvent obtenir un accès non autorisé aux données PII de différentes manières, notamment

  1. Via des serveurs mal configurés : Si les entreprises utilisent des fournisseurs de bases de données non sécurisées, tels que ElasticSearchIl sera alors facile pour les cybercriminels de se frayer un chemin. Ils peuvent alors exploiter les données par le biais de ransomwareIl peut s'agir d'un service d'aide à la décision, d'une usurpation d'identité, d'un espionnage d'entreprise, d'un hameçonnage ou simplement d'une vente.
  2. Par le biais de l'ingénierie sociale : Si les cybercriminels parviennent à gagner la confiance des gens en leur envoyant des courriels ou en les appelant de manière authentique, ils peuvent ensuite exploiter leurs vulnérabilités pour obtenir davantage d'informations personnelles.
  3. Avec des dispositifs de stockage connectés non sécurisés : Il s'agit notamment de serveurs de fichiers, de NAS ou d'autres protocoles de synchronisation qui révèlent des ensembles de données organisationnelles détaillées. Cela résulte souvent d'une négligence, d'une mauvaise configuration, de paramètres par défaut ou de sauvegardes automatiques.

Par exemple, en 2020, CybelAngel a découvert des documents confidentiels exposés par des dispositifs de stockage connectés ouverts. Ces documents contenaient les évaluations des ressources humaines de centaines d'employés, ainsi que des rapports internes sur 16 000 accidents du travail dans une entreprise industrielle.

4. Lequel des éléments suivants est un exemple de fuite d'informations confidentielles ?

Tout élément d'information permettant de remonter à la personne doit être protégé, même s'il semble sans importance.

Voici 8 études de cas rapides de fuites d'informations d'identification compromises pour le prouver :

  • Yahoo : Plus de 3 milliards de comptes d'utilisateurs de Yahoo ont été exposés par une équipe de pirates informatiques russes, ce qui constitue le record du plus grand nombre de personnes touchées par une cyberattaque.
  • LinkedIn : En 2021, des pirates ont partagé les profils d'utilisateurs de 700 millions de personnes, ce qui représente la majeure partie de la base totale d'utilisateurs de LinkedIn.
  • Cathay Pacific : En 2018, la compagnie aérienne a été victime d'une violation massive de données qui a révélé les informations personnelles de 94 millions de voyageurs
  • Equifax : En 2017, Equifax a été victime d'une violation de données qui a compromis les données personnelles de 147 millions de personnes, et a dû payer environ $425 millions d'euros pour aider les personnes touchées.
  • Microsoft : En raison d'une mauvaise configuration, les bases de données de 47 entreprises sont devenues accessibles au public et ont exposé au moins 38 millions d'enregistrements en 2021.
  • Le réseau Real Estate Wealth Network : L'une des plus grandes fuites de l'histoire des États-Unis, cette plateforme éducative a exposé 1,5 milliard d'enregistrements en raison d'un manque de protection par mot de passe.
  • First American Financial Corp : En 2019, 885 millions de dossiers ont été divulgués, non pas par des pirates informatiques, mais en raison d'une mauvaise conception du site web et de mesures inadéquates en matière de confidentialité des données.
  • Facebook : En 2021, Facebook a connu une énorme violation de données, partageant les noms, les numéros de téléphone et les mots de passe de plus de 530 millions de personnes.

Ces histoires nous montrent que toutes les violations de données IPI ne sont pas nécessairement le fait de cybercriminels. Parfois, elles sont simplement la conséquence d'une erreur humaine ou de systèmes mal configurés.

Mais quelle qu'en soit la cause, ces exemples montrent que même les plus grandes marques ne sont pas à l'abri des violations de données IPI, ce qui signifie que la sécurité des données IPI devrait être une priorité pour tout le monde.

5. Quelle est la différence entre une violation de données PII classique et une violation de données PII atypique ?

La cybercriminalité comporte deux grands types de violations de données IPI.

  • A violation typique de données d'IPI Il s'agit du vol de types courants d'informations personnelles (comme les informations financières) à des fins de cybercriminalité conventionnelle, comme le vol d'identité.
  • A violation atypique de données IPI c'est lorsque des types de données moins conventionnels (comme les données biométriques ou comportementales) sont volés pour des motifs plus divers, tels que le sabotage ou les manœuvres politiques.

Quel que soit le type de violation de données PII ou les motifs qui la sous-tendent, elles présentent toujours un risque sérieux pour la sécurité des organisations et des individus.

6. Comment signaler une fuite d'informations nominatives ?

Personne ne souhaite qu'une fuite d'informations confidentielles se produise.

Mais si c'est le cas, les entreprises sont légalement obligées de faire un rapport sur une violation de données dans les 72 heures de sa survenance, conformément aux lignes directrices du règlement général sur la protection des données (RGPD).

Pour les organisations basées aux États-Unis, la Federal Trade Commission (FTC) propose orientations sur les réponses à apporter en cas de violation de donnéeset recommande ce qui suit :

  • Sécurisez votre infrastructure : Protégez vos opérations physiques et numériques, vérifiez que des informations n'ont pas été publiées de manière inappropriée en ligne, obtenez des conseils juridiques et ne détruisez aucune preuve.
  • Corriger les éventuelles vulnérabilités : Examinez les autorisations des tiers, vérifiez le serveur de votre réseau, travaillez avec des experts en cybersécurité et mettez en place une politique de communication claire.
  • Prévenir les bonnes personnes : Vérifiez vos obligations légales, informez les forces de l'ordre de ce qui s'est passé et, s'il s'agit de dossiers médicaux personnels électroniques, informez également la FTC.

Et que se passe-t-il si vous ne signalez pas une fuite d'informations confidentielles ?

Si vous ne signalez pas une fuite d'informations nominatives ou une violation de données, cela peut avoir de graves conséquences, tant sur le plan juridique que sur celui de votre réputation.

  • Vous pourriez payer des amendes réglementairesqui peut atteindre jusqu'à 20 millions d'euros dans le cadre des lignes directrices du GDPR en Europe
  • Vous pourriez faire l'objet de poursuites judiciaires des personnes qui ont été affectées par la violation de données
  • Votre la réputation de l'entreprise sera entachéela perte de confiance et la publicité négative associées à votre marque

En outre, vos activités pourraient être affectées si la violation de données n'a pas été signalée, car il faudra plus de temps pour résoudre le problème.

En outre, l'absence de signalement peut aggraver l'impact sur les personnes dont les IPI ont été compromises, car elles n'auront reçu aucune notification les invitant à modifier leurs mots de passe, à vérifier leurs informations financières ou à geler leurs cartes de crédit, par exemple.

Un cas bien connu est celui de Yahoo, qui a payé une amende de $35 millions en 2018, après qu'il est apparu qu'elle avait omis de signaler une violation de données pendant près de deux ans (lié à l'étude de cas dont nous avons parlé plus haut).

7. Comment les organisations peuvent-elles prévenir les fuites de données IPI ?

Il existe dix bonnes pratiques que chaque organisation peut adopter pour réduire les risques liés à la sécurité des données PII.

  1. Cryptez vos données : Les IPI sensibles doivent toujours être cryptées, qu'elles soient en transit ou au repos, à l'aide d'algorithmes puissants qui garantissent la sécurité des données.
  2. Mettre en place un contrôle d'accès : Utiliser des mesures telles que les contrôles d'accès basés sur les rôles (RBAC) et l'authentification multifactorielle (MFA) pour réduire le risque d'accès non autorisé aux données sensibles.
  3. Ne collectez et ne stockez que les données dont vous avez besoin : La "minimisation des données" consiste à ne collecter et à ne conserver que les données IPI réellement indispensables à l'activité de l'entreprise, et à supprimer régulièrement toutes les autres données inutiles.
  4. Gardez l'anonymat : Si vous partagez des données avec des tiers à des fins d'analyse ou de test, vous pouvez toujours anonymiser ou masquer les données PII afin d'éviter de partager plus d'informations que nécessaire.
  5. Formez vos employés : Les mesures de cybersécurité ne fonctionnent que si toute l'équipe est impliquée. Sensibilisez votre équipe à l'importance de la protection des données PII et à la manière de reconnaître les cyberattaques potentielles.
  6. Investissez dans une solution de prévention de la perte de données (DLP) : Le logiciel DLP peut détecter et arrêter tout transfert, téléchargement ou chargement de données non autorisé.
  7. Gardez un œil sur votre écosystème numérique : Maintenez vos logiciels, applications et systèmes à jour et corrigez immédiatement toute vulnérabilité.
  8. Disposer d'un plan d'intervention en cas d'incident : Créer un système éprouvé pour répondre rapidement à toute violation de données IPI susceptible de se produire.
  9. Impliquez également vos fournisseurs tiers : Mettre en place des évaluations de sécurité, des contrôles et des accords contractuels pour tous les fournisseurs tiers susceptibles d'avoir accès aux données IPI en votre nom.
  10. Vérifiez régulièrement votre position en matière de cybersécurité : Réalisez des audits et des évaluations pour détecter les faiblesses de votre système avant qu'elles ne deviennent un problème.

Ces bonnes pratiques vous aideront à sécuriser vos données PII contre toute fuite ou cyberattaque. Toutefois, ces conseils ne sont efficaces que si l'ensemble de votre organisation y adhère. Les mesures de cybersécurité devraient faire partie intégrante du travail et des processus quotidiens de chacun.

Bonus : Comment conseiller les individus pour éviter les fuites de données IPI ?

Il est toujours préférable que les gens prennent des mesures proactives pour sécuriser leurs informations personnelles. En tant qu'entreprise, vous pouvez partager des recommandations avec votre base d'utilisateurs afin qu'ils participent eux aussi à vos initiatives de cybersécurité.

Voici quatre suggestions simples et rapides à partager avec vos clients :

  • Utiliser les mots "fort" et "faible". mots de passe uniqueset les changer régulièrement
  • Activer authentification multifactorielle (AMF) dans la mesure du possible
  • Surveiller les applications bancaires pour tout activité suspecte
  • Attention au phishing ou à l'ingénierie sociale escroqueries

Par exemple, certaines entreprises rappelleront à leurs clients de changer leur mot de passe après un certain délai ou partageront des informations sur la manière de reconnaître une escroquerie potentielle.

Conclusion

Les IPI sont un actif vulnérable que les cybercriminels peuvent exploiter, ou elles peuvent être exposées simplement à cause d'une erreur humaine ou d'une mauvaise configuration des systèmes. Mais avec les bonnes mesures en place, les organisations et les individus peuvent protéger leurs données sensibles.

Voici votre liste de contrôle en matière de cybersécurité des IPI :

  • Signalez toujours toute violation de données dans les 72 heures suivant sa survenanceet suivre les recommandations de la FTC pour les résoudre
  • Investissez dans le cryptage, le contrôle d'accès et la formation des employés, et d'autres mesures pour protéger votre organisation contre les menaces pesant sur les IPI

Et si vous voulez aller plus loin, nous avons créé Une liste de contrôle gratuite pour éviter les fuites d'informations personnelles- à vérifier.

CybelAngel existe pour protéger les données des entreprises, y compris tous les types d'informations confidentielles. Grâce à ses capacités de surveillance étendues, vous pouvez être alerté en temps réel de toute exposition de données, que ce soit en ligne, sur le dark web ou dans vos bases de données non sécurisées, avant que quelqu'un d'autre ne les ait vues.

Pour en savoir plus, vous pouvez demander une démonstration et découvrez comment CybelAngel peut compléter votre protection des IIP.