Violation de données : qu’est-ce que c’est, quels sont les risques et comment protéger votre environnement informatique ?

Si vous avez 18 euros et 0 scrupule, le Dark Web a pour vous les données complètes d’une carte de crédit espagnole ou britannique. Et pour 100 euros, 10 millions d’adresses électroniques américaines. En outre, les prix baissent, car les violations de données sont de plus en plus fréquentes et il ne reste plus personne qui n’ait pas exposé jusqu’à la couleur de ses sous-vêtements, parce qu’il l’a mise sur un site web, un réseau social ou un modèle linguistique, la dernière grande mine d’or en matière de violations de données.
Nos informations privées sont partout et les risques vont des spams et appels frauduleux incessants à la dixième tentative d’hameçonnage aujourd’hui. Ou pire encore, des identités volées qui aboutissent à des escroqueries, à des amendes à notre nom ou à des comptes bancaires plus propres que notre salle de bain.
Cela semble inévitable, mais ce n’est pas vrai. C’est pourquoi nous allons nous pencher sur tout ce qui concerne les violations de données : ce qu’elles sont, comment elles se produisent, les conséquences pour notre organisation si nous en subissons une, et ce que nous devons faire pour nous protéger.

Qu’est-ce qu’une violation de données ?

Une violation de données est un incident de sécurité au cours duquel des entités non autorisées copient, utilisent, transmettent ou accèdent à des informations confidentielles, protégées ou critiques.
Ou tel que défini à l’article 4.12 du GDPR avec la simplicité habituelle du langage légaliste :
« Toute violation de la sécurité entraînant accidentellement ou de manière illicite la destruction, la perte ou l’altération de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou la communication ou l’accès non autorisés à ces données »
Allez, qui ne devrait pas accéder à des données qui ne devraient pas ou, attentif à la loi, les détruit ou les altère également, même si vous ne les avez pas regardées.
Cela ne se produit pas seulement par l’action de méchants hackers en sweat noir non lavé, parce que cela peut être dû à :

• Fuite : divulgation (accidentelle ou non) de données par le biais de canaux non sécurisés, comme ces exemples dignes d’intérêt qui placent un millier d’adresses électroniques dans la section CC du courrier et non dans la section BCC. Ou qui télécharge des données personnelles dans un panier S3 et s’aperçoit qu’il est configuré comme public.
• Exfiltration : une violation causée par des acteurs malveillants (externes ou internes), comme un ransomware qui copie une base de données sur un serveur distant et la crypte ensuite sur nos systèmes ou, maintenant oui, le pirate informatique et son sweat-shirt qui entre par une fissure et extrait 500 Go de données, jusqu’à ce que nous découvrions ses mouvements latéraux par l’odorat.
• Fuite : similaire à la fuite et parfois incluse dans celle-ci. Il s’agit d’une perte de données due à une défaillance technique ou humaine, mais sans intention malveillante, comme une mauvaise mise à jour qui corrompt une base de données, ou une défaillance dans un script de nettoyage qui supprime ce qu’il ne devrait pas.

La différence avec d’autres incidents de sécurité, tels qu’un DDoS ou une intrusion sans exfiltration ou destruction, réside dans l’accès non autorisé ou la manipulation des données.

Principales causes d’une violation de données

Les violations de données ne se produisent pas par magie, mais à cause de ces causes :

• Erreurs humaines et accès inappropriés. Souvent produites par l’ennemi naturel du technicien et prédateur de sa santé mentale : l ‘utilisateur. Celui-ci a encore cliqué là où il ne fallait pas ou ouvert ce que nous lui avions dit de ne pas ouvrir. Cependant, après l’avoir pointé du doigt, nous pouvons le tourner vers nous, car il se peut aussi que nous ayons téléchargé les données là où nous n’aurions pas dû ou que nous ayons été peu scrupuleux dans la configuration des permissions.
• Défauts de configuration et vulnérabilités. Une mauvaise sécurité de notre base de données, ou une vulnérabilité non corrigée, peut être à l’origine de l’incident.
• Menaces internes et/ou sur la chaîne d’approvisionnement. Des employés mécontents ou des techniciens lésés peuvent conduire à une violation de données. Ou bien un fournisseur a une sécurité médiocre et notre CRM SAAS subit un piratage, entraînant une fuite des données des clients.

Vecteurs d’attaque les plus fréquents dans les environnements informatiques

Les films nous apprennent que ces choses se produisent parce que des génies de l’ombre se battent contre d’autres génies en tapant des incohérences très rapides dans un terminal, une sorte de duel de cybermagiciens. Mais ces films ont également essayé de nous faire croire que Chris Hemsworth (alias Thor) ou Hugh Jackman (alias Wolverine) étaient des hackers, ou que dans notre groupe de cyber-génies marginalisés, nous trouverions une Angelina Jolie. Ils ne ressemblent donc pas non plus à la réalité des atteintes à la protection des données.
Les vecteurs les plus fréquents sont les suivants :

• Phishing*. Le cafard des cybermenaces qui ne mourra jamais, avec des courriels (ou SMS, WhatsApp, etc.) frauduleux. À moins que vous ne soyez une organisation stratégique dans le collimateur d’acteurs malveillants très motivés, la plupart des attaques emprunteront ce vecteur.
• Ransomware* et autres types de *malware. Parce que vous n’avez peut-être pas cliqué sur le lien de *phishing*, mais vous avez téléchargé ce programme pirate et il a inséré un *keylogger* qui enregistre ce que vous tapez.
• Attaques d’API. Il s’agit d’un vecteur de plus en plus répandu où des API mal sécurisées laissent filtrer des données qu’elles ne devraient pas divulguer face à des requêtes ingénieuses ou à un accès non autorisé. C’est le cas de Twitter en 2022, où une API sans authentification appropriée a permis de vérifier si un email ou un numéro de téléphone était associé à un compte, permettant le doxxing (divulgation d’identité) et le phishing.
• Des informations d’identification déjà divulguées. C’est-à-dire que quelqu’un utilise un mot de passe qu’il a trouvé sur le dark web ou ailleurs et que l’utilisateur n’a jamais modifié.
• Menaces d’initiés. Vecteur clé, car un employé mécontent fait plus de dégâts que le plus puissant des pirates informatiques.
• Brèche dans la chaîne d’approvisionnement. Nous sommes sérieux, mais ce modèle de langage qui nous écrit des courriels que personne ne lira a des vulnérabilités comme les tunnels ferroviaires. Ou bien nous avons des fichiers dans iCloud et il y a une répétition du Celebgate de 2014.
• Vulnérabilités non corrigées. Parce que nous utilisons des applications ou des systèmes d’exploitation sans les mettre à jour ou que nous sommes confrontés à un jour zéro, une vulnérabilité inconnue et, par conséquent, non encore résolue.

Impact sur l’infrastructure informatique et conséquences pour l’entreprise

Si des données sont compromises, nous en subirons les conséquences, tant pour notre infrastructure informatique que pour l’organisation dans son ensemble.

1. Pertes dues à la modification des opérations

Si la violation de données est due à un ransomware, par exemple, il se peut que nous ne puissions pas travailler, car tout est crypté, à moins que nous ne payions la rançon qui ne manquera pas d’être exigée. Ou tout simplement, l’analyse médico-légale et les mesures d’atténuation perturbent les activités quotidiennes.
Chaque seconde de cette période est une perte, mais il n’y a pas que cet impact.

2. Atteinte à la réputation

Nous n’avons pas pris soin des données que nous détenons, de sorte que certains clients, partenaires ou actionnaires ne voudront pas rester avec nous. Par exemple, après la violation des données d’Equifax en 2017, sa valeur boursière s’est effondrée.
La réputation coûte cher à gagner et se perd en un instant ; c’est aussi la chose la plus difficile à quantifier. Par exemple, nous ne connaîtrons jamais le nombre d’affaires potentielles perdues parce que les personnes qui entendent parler de ce qui s’est passé n’ont pas envie de travailler avec nous.

3. Sanctions réglementaires

En fonction de l’écart et de l’organisation, nous pouvons être soumis à l’obligation de respecter diverses normes, telles que

• Le NIS2 si nous sommes une entreprise stratégique de l’UE.
• La norme PCI-DSS concerne les paiements en ligne et les données des cartes de crédit.
• L’ENS (système national de sécurité) espagnol, conformément au décret royal 311/2022, du 3 mai.
• Le GDPR, le règlement européen sur les données par excellence qui établit le cadre juridique dédié à la protection des données, etc.

Le problème, c’est que les sanctions sont importantes et qu’elles sont appliquées :

• Pour ne pas avoir fait ce qui est prévu par la loi pour prendre soin des données divulguées.
• Pour ne pas avoir communiqué la violation en temps utile, même si nous avons pris toutes les précautions possibles.

Par conséquent, pour atténuer les conséquences, notre réponse à la violation doit être sans faille.

Comment réagir à une violation de données ?

Lorsque l’incident se produit, notre action doit être double. D’une part, technique, en détectant et en contenant la violation dès que possible. D’autre part, législative, en notifiant les organismes compétents, comme l’Agence espagnole de protection des données, par exemple. De même, la loi nous obligera à informer les utilisateurs, en respectant également certains critères.
Analysons plus en détail les étapes nécessaires.

• Détection des lacunes. Soit parce que nous l’avons découvert grâce à un bon IDS ou SIEM, soit parce que nous avons eu une crise cardiaque devant l’écran d’extorsion d’un ransomware, soit parce que ces données ont été détectées sur le dark web, Pastebin ou des marchés d’information louches… Et nous ne le savions même pas.
• Confinement immédiat. La première chose à faire est d’arrêter l’hémorragie et de minimiser les dégâts. Pour ce faire, nous isolons les systèmes affectés, bloquons les comptes compromis, stoppons les exfiltrations en déconnectant…
• Évaluation. Déterminer quelles données ont été violées et l’étendue de la violation (combien de comptes ou d’enregistrements ont été compromis).
• Avis juridique. Le GDPR exige 72 heures ou moins, mais la législation telle que NIS2 raccourcit à 24 heures pour les opérateurs essentiels, alors ne vous endormez pas sur ce délai.
• Résolution technique de la violation. Boucher le trou de rat, s’assurer d’éliminer les menaces persistantes (APT), récupérer les données à partir des sauvegardes, etc. En fonction de la nature spécifique de la violation de données, les étapes techniques seront différentes.
• Communication stratégique. Devant les utilisateurs et les législateurs. La loi exige d’être clair et d’informer si elles présentent un risque. De nombreuses entreprises s’efforcent de minimiser les risques parce que, peut-être, cela n’a pas affecté les données bancaires ou les numéros de cartes et Dieu merci, mais des identifiants, des adresses et des numéros de téléphone ont été divulgués, qui peuvent être utilisés pour l’usurpation d’identité, le spam, l’hameçonnage ou la fraude. Personnellement, je suis horrifié par ce qui peut être fait avec ces informations et un peu d’ingénierie sociale, mais l’utilisateur moyen n’est pas conscient de ces choses.
• Récupération et durcissement. La vie ne peut pas continuer comme avant, quoi qu’en dise la chanson. Nous devons faire la lumière sur ce qui s’est passé et revenir plus forts pour que cela ne se reproduise plus, en renforçant les contrôles, en adoptant des politiques d’accès plus strictes, etc.

En bref, apprenez de vos erreurs, une phrase que nous aimons dire aux autres, mais que nous détestons appliquer à nous-mêmes.
Tout au long de ce processus, un bon SIEM comme Pandora SIEM soulèvera le poids lourd de cette réponse, avec des actions telles que :

• Les rapports de gestion des risques et les audits requis par le NIS2.
• Détection des accès non autorisés dès qu’ils se produisent, ainsi que l’enregistrement des activités pour une communication rapide aux agences et la démonstration de la diligence.
• Actions immédiates automatisées, telles que le blocage des ordinateurs compromis, des adresses IP malveillantes et la notification immédiate au SOC.
• Mais avant tout, l’aide principale est une meilleure protection en amont et une surveillance continue, ce qui réduit le risque de violation de données en premier lieu.

Des stratégies efficaces pour prévenir les violations de données

Le seul bon écart est celui qui ne se produit pas, c’est pourquoi nous devons appliquer des stratégies efficaces pour le prévenir. Les principales sont les suivantes :

• Contrôle continu. de l’ensemble de l’infrastructure, en regroupant et en mettant en corrélation les journaux des différents éléments afin de détecter les attaques complexes. Un bon SIEM est essentiel à cet effet.
• Cryptage des données. Tant en transit (TLS 1.3) qu’au repos (AES-256) de sorte que, même en cas d’exfiltration, il est impossible d’y accéder.
• Gestion draconienne de l’identité et de l’accès. Doublez toujours l’authentification et les politiques de moindre privilège, où personne n’a plus d’accès que nécessaire.
• Formation des utilisateurs et exercices réguliers. Les meilleurs murs ne servent à rien si l’utilisateur n’arrête pas d’ouvrir les portes. C’est pourquoi nous devons les former aux principales menaces et effectuer régulièrement des exercices de phishing, d’ingénierie sociale ou d’intrusion, tant technique que physique, dans les installations.
• Audits périodiques. Le code des applications clés avant les nouvelles versions (si nous le pouvons), ainsi que les processus ou tests annuels de pentesting, pour voir comment nous résistons ou réagissons à une éventuelle violation.

Liste de contrôle pratique : comment protéger votre environnement informatique contre une violation de données

J’aimerais détailler les stratégies ci-dessus en actions concrètes, et donc examiner une liste de contrôle pour mettre en œuvre les éléments essentiels. Évidemment, je ne sais pas si votre infrastructure est un océan de mille systèmes de toutes sortes plus SAAS ou 12 pommes de terre et un Raspberry, mais cela n’a pas d’importance.
Ces actions sont applicables à tout le monde et comprennent quelques conseils et nuances tirés de l’expérience de l’équipe Pandora.
Examinons si nous avons atteint chaque point.

• Double authentification pour l’accès. Je sais que c’est fatigant et peu pratique, mais cela est également connu (et exploité) par les acteurs malveillants.
• Rotation périodique des pouvoirs. L’obligation de changer les mots de passe tous les 90 jours, par exemple.
• Politiques d’accès aux données basées sur le principe du moindre privilège. Parce que Rafa de la comptabilité n’a pas besoin d’accéder aux données du CRM.
• Les politiques d’accès font l’objet d’un audit mensuel, par exemple. Car Rafa est peut-être passé à la vente, mais l’accès aux informations financières n’a pas été révoqué.
• Réseaux segmentés critiques. La webcam n’a pas fière allure lorsqu’elle est connectée à des réseaux de paiement, sérieusement.
• Données segmentées. Le même principe s’applique à l’accès et aux réseaux : ne laissez pas tout l’or dans la même boîte. Ainsi, s’ils accèdent aux données de la gestion de la relation client, ils n’ont pas besoin de se retrouver avec les bilans et les opérations bancaires.
• Cryptage des données, tant au repos qu’en transit.
• Un SIEM qui permet une surveillance continue et des alertes programmées en cas de violation.
• Actions d’atténuation automatisées (si elles peuvent être mises en œuvre avec notre SIEM et/ou SOAR) pour des actions clés simples telles que l’isolement des machines compromises, le blocage des IP malveillantes ou la création d’alertes et de tickets.
• Actions DLP (Data Loss Prevention), telles que les alertes SIEM en cas de copies massives de données sur USB, par exemple.
• Automatisez les mises à jour autant que possible.
• Surveillez les nouveaux CVE et les vulnérabilités qui nous concernent. Malgré ce qui précède, le temps qui s’écoule entre l’apparition de la vulnérabilité et sa correction est critique. Nous devons garder un œil sur l’application ou l’équipement vulnérable jusqu’à ce que la solution arrive, ou prendre des mesures préventives pendant cette période, s’il ne s’agit pas d’un élément clé des opérations.
• Formation périodique des utilisateurs.
• Simulez des mécanismes d’hameçonnage et d’ingénierie sociale pour prouver que ces utilisateurs étaient présents au point précédent. Rendez-les aléatoires ou ils seront conditionnés à être plus attentifs aux dates habituelles d’occurrence.
• Politique de sauvegarde stricte suivant les meilleures pratiques, telles que le principe 3-2-1, l’immutabilité ou la vérification mensuelle de la récupérabilité et du bon état des copies.
• Connaître exactement les exigences légales qui nous concernent et les mesures spécifiques requises par ces lois pour prévenir les incidents ou lorsqu’ils se produisent. Oui, il est plus facile de lire Guerre et Paix, mais il n’y a pas d’excuse.
• Plan d’action documenté en cas de violation des données. Détaillant clairement les actions spécifiques et QUI doit les réaliser. J’espère avoir suffisamment souligné l’importance du « qui ».
• Les terminaux protégés par des EDR ou des agents qui communiquent avec le SIEM. Une attention particulière à l’équipement personnel en raison de la tendance BYOD (Bring Your Own Devices).
• Vérifier notre chaîne d’approvisionnement. C’est-à-dire les fournisseurs de services ou de produits tels que l’hébergement en nuage, les services commerciaux externalisés ou autres, en s’assurant qu’ils répondent aux exigences, qu’ils ont la norme ISO 27001, etc.

Tout comme vous ne pouvez pas construire une maison sans les bons outils, vous ne pourrez pas mettre en œuvre cette liste de contrôle sans applications professionnelles. Et au centre de tout cela se trouve le SIEM, le centre de commande et de contrôle qui ne se repose jamais, soulevant chaque tapis, éclairant chaque coin et reliant les éléments d’information de notre infrastructure informatique.

Pandora FMS et Pandora SIEM : votre allié pour prévenir les violations de données

Pandora FMS et Pandora SIEM sont le résultat des meilleures pratiques. Après avoir été forgé dans les feux du Mont Doom (et l’expérience réelle), un outil d’élite pour vous protéger, non seulement contre les violations de données, mais aussi contre toute attaque.

En ce qui concerne les violations de données, la principale aide consiste, avant tout, à les prévenir. Comment ? Grâce à l’agrégation des journaux et à la corrélation des événements pour la détection en temps réel de schémas d’attaque complexes.

De même, la surveillance continue, même des réseaux les plus hétérogènes, et le fait de disposer d’un tableau de bord unifié dans votre métaconsole (ou ceux dont nous avons besoin, adaptés à nos besoins, avec des tableaux de bord et des consoles personnalisés) nous donnent le contrôle que nous avons toujours voulu avoir.

Pendant le processus de confinement et de réponse en cas de violation de données, Pandora permet d’avoir toutes les informations de l’événement en un coup d’œil, de détecter immédiatement ce qui s’est passé, ainsi que de répondre automatiquement avec des actions telles que l’isolement de l’équipement, l’IP, etc.

Dans le cadre de travaux d’investigation et de communication, il facilite le respect de la réglementation, en établissant des rapports conformément à la loi et en démontrant notre diligence grâce au stockage de journaux et d’informations nécessaires pour les audits.

En regardant les appels frauduleux que mon téléphone portable bloque chaque jour, il est clair que les violations de données sont l’un des incidents de sécurité en augmentation. La mise en œuvre de ce que nous avons vu nous aidera à prévenir et à atténuer, et Pandora FMS, avec Pandora SIEM, nous permet d’aller au combat montés sur Mazinger Z (que les références préhistoriques ne se désintègrent pas).

Mais bien sûr, au risque que le marketing me lance une torpille à photons en forme d’agrafeuse, qu’allons-nous dire de notre joyau ?

Nous pensons sincèrement que Pandora est la meilleure option, mais (voici la deuxième agrafeuse qui vole entre les cris), vous n’êtes pas obligés de nous croire et, en fait (troisième agrafeuse alors que j’écris à l’abri sous la table), vous feriez bien, parce que c’est facile de parler.

C’est pourquoi nous vous invitons à une démonstration gratuite de Pandora. Nous vous invitons à essayer, à nous demander, à nous interroger jusqu’à ce qu’il n’y ait plus de doute et ensuite, à comparer d’autres options, sérieusement. Nous savons que vous ne pouvez convaincre personne de quoi que ce soit, mais vous vous convaincrez vous-même si vous nous essayez.