Station Digineer – Shutterstock.com
Dans un monde des affaires connecté, les entreprises sont confrontées à des défis de cybersécurité sans précédent. Selon le rapport 2024 d'IBM sur le coût d'une violation de données, le coût moyen d'une violation de données causée par le phishing est d'environ 4,88 millions de dollars. Selon les estimations du secteur, environ 3,4 milliards d’e-mails de phishing sont envoyés chaque jour. Dans le même temps, l’industrie mondiale du commerce de données croît pour atteindre une valeur estimée à 280 milliards de dollars d’ici 2024. Cette industrie collecte systématiquement des informations sur les employés, les clients et les partenaires commerciaux, souvent à leur insu. Les concepts de sécurité traditionnels tels que les pare-feu et la détection des intrusions ne suffisent plus.
Les limites du pare-feu et de la détection d'intrusion
Un pare-feu est indispensable, mais il présente des limites fondamentales : il est avant tout réactif et configuré pour les menaces connues. Avec 300 000 nouvelles variantes de malwares chaque jour, d’importantes failles de sécurité apparaissent. En outre, il s'agit avant tout de garantir que personne ne pénètre dans le réseau de l'entreprise : le transfert incontrôlé de données sensibles vers le monde extérieur passe souvent inaperçu.
Les systèmes de détection d'intrusion (IDS), quant à eux, ne détectent les intrus que lorsqu'ils sont déjà dans le système, comparable à un détecteur de fumée qui avertit d'un incendie mais ne l'empêche pas. Les menaces persistantes avancées (APT) peuvent rester indétectables sur les réseaux pendant des mois.
Ce que l'industrie des données sait de votre entreprise
Les courtiers en données collectent systématiquement des informations qui vont bien au-delà de ce que connaissent les entreprises. Selon des rapports du secteur, les principaux courtiers en données ont collecté des données personnelles auprès d'environ 70 % de la population en ligne mondiale. La valeur marchande de cette industrie atteindra environ 280 milliards de dollars en 2024, un chiffre supérieur à celui du marché mondial de la cybersécurité.
Les données collectées concernent non seulement l’entreprise elle-même, mais également les collaborateurs, les clients et les partenaires commerciaux.
Le plus dangereux : ces données circulent en continu et inaperçues lors de l’utilisation quotidienne d’Internet au travail. Chaque visite sur un site Internet, chaque utilisation d’une application, chaque appareil connecté devient un fournisseur de données. Ce flux de données est invisible pour les pare-feu traditionnels car il apparaît comme un trafic sortant légitime.
L'industrie des données collecte de nombreuses informations sur les employés. Les modèles de localisation et de mouvement sont déterminés via l’adresse IP lors de la navigation. Cela crée des profils détaillés sur les technologies recherchées par un employé, les projets sur lesquels il travaille et les concurrents qu'il analyse.
Le rôle et la position professionnelle sont également enregistrés : les trackers sur les portails professionnels tels que LinkedIn et Xing enregistrent les visites et les interactions des profils, tandis que les empreintes digitales du navigateur identifient les visiteurs qui reviennent, même sans cookies. La combinaison du domaine de l'entreprise, du comportement de navigation et des activités sur les réseaux sociaux permet d'attribuer des informations à des personnes spécifiques et à leur autorité décisionnelle. Concernant les modèles de communication et les métadonnées, ce qui suit s'applique : Même dans le cas d'e-mails cryptés, toutes les métadonnées peuvent être lues.
À propos des clients et partenaires commerciaux Des informations sensibles sont également collectées. Les relations commerciales peuvent être identifiées lorsque les employés visitent les sites Web des clients ou utilisent les portails des partenaires, car les trackers intégrés peuvent capturer ces connexions et la fréquence des visites révèle l'intensité de la relation commerciale. Les informations sur le projet deviennent visibles car les recherches sur des technologies, des industries ou des marchés spécifiques sont enregistrées grâce au suivi du navigateur. Cela montre sur quels projets sont en cours de réalisation et quels investissements sont prévus. Lors de l'utilisation de systèmes CRM basés sur le cloud, d'outils de gestion de projet ou de plateformes de collaboration, les scripts d'analyse intégrés peuvent également collecter des informations sur les données clients traitées.
Les courtiers en données proposent leurs bases de données en tant que service juridique, par exemple pour la vérification des antécédents, du marketing ou des vérifications de crédit. Cela signifie que les cybercriminels et les acteurs étatiques peuvent également facilement acquérir ces données.
Comment les cybercriminels utilisent ces données
Dans le cadre de la fraude au PDG, les attaquants se font passer pour des PDG ou des dirigeants pour inciter les employés à transférer de l'argent. Selon le FBI, entre 2013 et 2023, plus de 305 000 incidents de ce type ont causé des pertes mondiales de plus de 55 milliards de dollars. Les informations collectées par les courtiers en données sur la localisation, les projets de voyage et les projets en cours rendent ces attaques étonnamment crédibles. En 2024, 64 % des entreprises ont signalé ce type d’attaques.
Le spear phishing, contrairement au phishing général, cible des employés spécifiques. Connaissant vos rôles, vos projets et vos contacts, les attaquants créent des messages hautement personnalisés. Bien que le phishing représente moins de 0,1 % du volume d’e-mails, il est responsable de 66 % de toutes les violations de données.
Les acteurs étatiques comme menace supplémentaire
Outre les cybercriminels, les groupes de piratage parrainés par l’État représentent une menace croissante pour les entreprises. Ces acteurs appelés États-nations disposent de ressources importantes et utilisent les informations collectées par les courtiers en données à des fins d’espionnage économique et de sabotage ciblés.
Les chiffres sont alarmants : selon CrowdStrike, l’activité de cyberespionnage chinois a augmenté de 150 % en 2024 et jusqu’à 300 % dans certains secteurs. Le BSI a enregistré en moyenne 309 000 nouvelles variantes de malwares par jour en 2024. Selon Microsoft, les groupes russes, chinois, iraniens et nord-coréens sont responsables de la majorité des cyberattaques parrainées par l'État. Seuls des groupes APT (Advanced Persistent Threats) bien connus tels que APT27, APT28, APT29, APT31, APT41, Lazarus Group et Kimsuky mènent des centaines de campagnes actives contre des entreprises occidentales.
Ces groupes utilisent les informations disponibles auprès des courtiers en données pour une identification précise des cibles, des attaques d'ingénierie sociale et une infiltration non détectée à long terme dans les réseaux d'entreprise. Le temps moyen qu’une APT passe sur un réseau compromis est de plusieurs mois, suffisamment de temps pour divulguer des secrets commerciaux sensibles.
Que signifie l’intégrité numérique ?
L'intégrité numérique décrit l'exhaustivité, l'exactitude et l'exhaustivité des données, ainsi que le droit de protéger l'identité numérique et les communications contre tout accès non autorisé. Pour les entreprises, cela signifie : Les informations numériques ne doivent pas être falsifiées ou interceptées sans autorisation. Les employés, les clients et les partenaires commerciaux doivent pouvoir être assurés que leurs données sont protégées.
Mesures de protection pour les entreprises
Les boîtiers de sécurité et de confidentialité constituent un développement ultérieur des pare-feu qui peuvent contribuer à réduire considérablement les fuites indésirables d'informations sur l'entreprise.
Fondamentalement, la solution est fiable : elle ne peut pas être utilisée à mauvais escient comme outil de surveillance, les trackers ne peuvent pas acheter sa sortie et le fabricant doit être indépendant des revenus publicitaires et du commerce des données.
En plus d’utiliser un lockbox et un boîtier de confidentialité, les RSSI doivent mettre en œuvre d’autres mesures. Cela inclut une formation régulière des employés sur le phishing et l'ingénierie sociale, ainsi que l'auto-hébergement des données sensibles au lieu de recourir à des fournisseurs de cloud tiers. Une architecture Zero Trust basée sur le principe « ne faire confiance à personne, tout vérifier » constitue une base importante.
De plus, il est conseillé de vérifier périodiquement quelles données de l'entreprise sont accessibles au public. (jm)
