Les fuites de données personnelles sont un véritable fléau qui n'épargne personne. Pour la majorité, la plupart des ces fuites sont d'origine malveillante, avec pour conséquences des pertes financières, du cyber-harcèlement ou encore une baisse du chiffre d'affaire pour les entreprises. Mais qu'est-ce qu'un vol de données et comment s'en protéger ?
Qu'est-ce qu'une fuite de données ?
Une fuite de donnée(s) correspond à la perte ou au vol d'un certain nombre de données. Subie par un particulier ou par une entreprise, elle peut prendre différentes formes :
- Perte
- Destruction
- Altération
- Divulgation non autorisée
- Traitement non autorisé
- Accès non autorisé
Une fuite de donnée(s) peut avoir de nombreuses conséquences, notamment en ce qui concerne l'intégrité, la confidentialité ou encore la disponibilité d'une personne ou d'une entreprise. Elle peut être soit accidentelle, soit malveillante. Les cyberattaques représentent les cas les plus souvent rencontrés, suivis par l'erreur humaine puis par l'erreur système.
Quelles sont les données concernées par les fuites ?
Les données perdues ou volées peuvent être de différentes natures. Elles peuvent être classées dans trois catégories :
- Les données simples : le nom, le prénom, l'adresse postale, la date de naissance, l'adresse e-mail ou encore le numéro de téléphone.
- Les données personnelles : les relevés d'imposition, les bulletins de paie, les copies de papiers d'identité, le RIB, etc.
- Les données bancaires : le numéro d'une carte bancaire, y compris la date d'expiration et le code CCV.
En fonction de leur rareté, les données peuvent être vendues de quelques centimes à plusieurs milliers d'euros.
à quoi ressemble une fuite de données ?
Les données fuitées peuvent prendre différentes formes. Certaines contiendront des informations tangibles, d'autres des informations plus complexes comme des identifiants clients ou des adresses IP, pouvant facilement être exploitées par des cybercriminels. Les informations sont stockées sous la forme de lignes de tableaux sauvegardées dans des bases de données.
Comment savoir si mes données ont fuité ?
Beaucoup d'entreprises et de personnes ne sont pas conscientes que leurs données ont été perdues ou volées. Il n'est en effet possible de s'en rendre compte qu'en tombant sur la faille ou lorsque les données volées sont rendues publiques. Il existe toutefois un outil pour vérifier si une adresse e-mail est concernée par une fuite de données.
Comment font les pirates pour voler des données ?
Dans le cas des fuites préméditées et malveillantes, ces dernières sont réalisées par des cyberpirates aux techniques variées :
- Le phishing : le pirate créée un site clone et soutire les données informées par l'utilisateur.
- Le malware : le pirate crée un virus ou un cheval de Troie et récupère les informations contenues dans l'ordinateur.
- L'inside job : un collaborateur de l'entreprise décide de faire fuiter une information.
- L'injection SQL : le pirate injecte un bout de code dans un système afin de passer à travers les outils de cybersécurité.
Comment se protéger des fuites de données ?
Il est possible de se prémunir des fuites de donnée(s) en respectant cinq grands principes :
- Prendre conscience : les particuliers et les entreprises doivent être conscients des risques encourus à travers le stockage informatique de leurs données.
- Prévenir : choisir un mot de passe complexe (avec lettres, majuscule(s), chiffre(s) et caractères spéciaux et utiliser un mot de passe différent pour chaque site / application.
- Détecter : utiliser régulièrement des outils visant à vérifier que les données sont en sécurité et n'ont pas fuité.
- Assurer ses arrières : se préparer en amont aux conséquences d'une éventuelle cyberattaque.
- Réagir : être prêt à réagir rapidement en cas de constat d'une fuite.
Fuite de donnée(s) et RGPD
Le RGPD, ou Règlement général sur la protection des données, est une législation mise en place par l'Union Européenne dans le but d'aider les entreprises à se mettre en conformité vis à vos du stockage des données. Elle les incite, entre autres, à protéger les données dès leur conception, à tenir un registre des activités de traitement de données, à désigner une personne déléguée à la protection des données, et elle les oblige à informer les victimes du vol de leurs données personnelles.