L'Identity Theft Resource Center (ITRC) observe depuis deux ans les organisations américaines victimes d'intrusion informatique et recense les cas où une brèche de confidentialité sur des données personnelles a été identifiée.

L'ITRC a publié son premier rapport trimestriel pour l'année 2010, dont nous pouvons déjà tirer de nombreux enseignements...



1er trimestre 2010


173 cas d'intrusion ont été recensés par l'ITRC depuis le 1er janvier 2010. Sur la base des jours ouvrables, cela revient à un peu moins de 3 intrusions annoncées par jour. Il faut toutefois préciser que tous les États américains n'ont pas encore adopté les lois imposant aux entreprises de notifier leurs clients en cas d'une brèche de confidentialité. Donc, même en se basant uniquement sur les plaintes déposées, le nombre n'est pas encore exhaustif pour le territoire américain.


Distribution sectorielle

La distribution sectorielle des attaques présente une distribution assez représentative du marché. 42% des attaques ont porté sur des commerces, tous secteurs et industries confondus. L'on constate également que plus d'un cinquième des attaques a porté sur le vol de données personnelles à caractère médical.

Les banques et autres établissements financiers recensent 12% des attaques, portant le nombre exact d'organisations touchées au premier trimestre 2010 à 22.

Le graphe ci-après décrit la distribution sectorielle des attaques pour le premier trimestre 2010:




Est-ce que cela empire?


Voici le même graphe, portant cette fois sur l'échantillon d'intrusions recensées durant l'année 2009:



Il est intéressant de constater que la distribution est sensiblement similaire, à l'exception des secteurs de l'enseignement et de la santé, le premier ayant cédé 10 points au dernier. Il est trop tôt pour attribuer ce déplacement d'efforts à une meilleure sécurisation des infrastructures de santé ou simplement, par exemple, à l'augmentation du nombre d'étudiants conscients de la valeur marchande de leurs données personnelles!

L'on peut toutefois prévoir sans trop de risque que l'année 2010 va sensiblement ressembler à l'année 2009 en termes de distribution sectorielle. A moins d'une grande surprise, les vols de données personnelles se concentreront encore majoritairement sur les commerces de tous types, hors les catégories spéciales (finance, gouvernement, santé et enseignement).


Et si l'on considère la victime finale?


Bien que ces graphes semblent indiquer que certaines industries sont plus touchées que d'autres, une information essentielle à l'analyse des vols de données personnelles n'est pas comprise dans cette statistique. Par opposition au vol de données commerciales, dont on peut estimer qu'il impacte directement sur la compétitivité de l'entreprise, le vol de données personnelles a pour cible finale le particulier: les informations collectées vont généralement permettre soit:
  • De profiler la personne sur la base d'informations qu'elle ne pense pas avoir fournies (p.ex.: lorsque l'on cherchera à obtenir un crédit, contracter une nouvelle assurance, etc.)
  • De présenter à la personne un produit commercial très ciblé, basé sur des enseignements que la personne pense avoir conservé secrets.
  • D'usurper l'identité de la personne, à son insu, sur la base des informations volées.

Si l'on considère cette fois l'individu au centre de l'intrusion, par opposition à l'entreprise, l'analyse de la distribution sectorielle des cas d'intrusion perd énormément de valeur. Heureusement pour nous, l'ITRC collecte également une autre donnée dans ses rapports: le nombre d'enregistrements volés par cas d'intrusion (number of records).

Le camembert précédent peut donc être réajusté pour prendre en compte cette nouvelle information:




Et oui, il y a du changement. Et du gros! Qu'observons-nous?

Le grand changement s'opère dans le secteur financier. Alors que ce secteur ne recense que 12% des cas d'intrusion identifiés par l'ITRC, les établissements financiers représentent à eux seuls 63% du nombre d'enregistrements personnels volés, tous cas confondus, sur le premier trimestre 2010.

Cependant, dans de très nombreux cas d'intrusion en organisations financières, aucun enregistrement personnel n'a été volé.

Comment expliquer cela? Trois raisons pourraient nous aider à comprendre cette distribution.

En premier lieu, les états américains n'ont pas tous encore répliqué l'acte californien Senate Bill 1386, adopté en 2003. Cette loi impose la notification d'un incident de sécurité sur les données personnelles à toutes les personnes visées. La grande particularité est que de nombreux états imposent la notification dès lors que la brèche de sécurité a été identifiée, et non seulement lorsqu'une intrusion a été identifiée. En clair: le simple fait de relever une faille de sécurité exposant les données personnelles constitue une brèche de sécurité au sens de la loi, même si aucun pirate ne l'a exploitée. Ceci explique les incidents collectés par l'ITRC et recensant un nombre nul d'éléments volés. Toutefois, cela ne veut pas dire qu'il n'y a pas eu de vol. Cela veut dire qu'aucun élément de l'infrastructure n'a identifié une preuve d'un éventuel vol. Nuance, donc.


En second lieu, il est connu, de réputation, que les vols de données réalisés dans les établissements financiers touchent beaucoup plus de personnes que dans d'autres secteurs. Pour le premier trimestre 2010 par exemple, les cas de la banque CitiGroup (600'000 personnes exposées par l'intrusion) et de l'institut Lincoln National Financial Securities (1'200'000 personnes exposées par l'intrusion) ont fortement joué en défaveur du secteur financier. Par opposition, les actes commis dans le secteur "commerces" exposent, eux, à presque tous les coups, plusieurs centaines ou milliers de personnes.


Finalement, la crainte de représailles joue aussi certainement un rôle. Les infrastructures bancaires ont la réputation de jouir d'une meilleure sécurité de leurs systèmes et leurs réseaux (nda: je ne me prononcerai volontairement pas sur leurs applications...) tout en disposant de moyens légaux importants pour gérer les contentieux auxquels ils sont régulièrement exposés. S'attaquer à un établissement financier est donc, d'un point de vue purement statistique, plus risqué pour son avenir. Ceci expliquerait peut-être pourquoi moins d'institutions sont visées.


Comment les données sont-elles volées?


Comme indiqué plus haut, 62 cas d'intrusion ont été recensés dans des établissements financiers américains au cours de l'année 2009. La distribution des techniques d'intrusion dans les établissements a été observée comme suit:



Légende:
  • DAB: distributeurs automatiques de billets (ATM)
  • Intrusion web: intrusion par le site web officiel de l'entreprise ou par l'un des sites web exposés par l'entreprise (extranets)
  • Vol interne: acte délibéré, commis par un collaborateur de l'entreprise
  • Brèches accidentelles: oublis, pertes, distractions, etc.

L'on constate en premier lieu que de nombreuses intrusions exploitent une faiblesse dans la maîtrise physique des ressources, à savoir, les documents imprimés (24% des cas), le matériel informatique volé (13% des cas) et le piratage physique de distributeurs automatiques de billets (13%). Ces trois catégories réunies cumulent à elles seules plus de 60% des cas de vols de données personnelles!

Toutefois, cette statistique est assez faussée pour les établissements bancaires n'exploitant pas directement des automates à billets. Si l'on reprend donc la même statistique en supprimant les attaques survenues sur les automates, les proportions s'ajustent comme ci-dessous:



Les représentations se modifient à nouveau:
  • 30% des cas sont attribuables à un collaborateur (menace interne)
  • Dans 43% des cas, des biens physiques ont été volés (matériel informatique ou des feuilles imprimées)

Autre constatation forte: dans près d'un dixième des cas, les attaques sont dirigées sur les sociétés partenaires de l'entreprise initialement visée. L'évolution des directives de sécurité, recommandant des mesures de plus en plus importantes auprès des partenaires diffuseurs et consommateurs de données, est donc à juste titre pleinement justifiée!


Finalement, la source la plus importante de fuite de données personnelles dans les établissements financiers pour l'année 2009 est le vol interne.

Nous en entendons beaucoup parler dans la presse ces derniers mois, mais il est important de constater que cela se vérifie dans les chiffres: la majorité des intrusions relèvent de l'acte d'un collaborateur interne à l'entreprise.


Le vol de données interne: une lutte vaine?

L'on constate que la source la plus importante de fuite de données personnelles dans les établissements financiers, pour l'année 2009, reste le vol interne (cette catégorie recense les fuites résultant de l'acte malveillant d'un ou plusieurs collaborateurs de l'établissement). Cette catégorie constitue un peu le mouton noir de cette liste dans la mesure où la faiblesse du système est fréquemment imputée à l'Homme, par opposition aux machines, et que de nombreux cas de vol interne ont fait la une des journaux ces derniers mois.

Incontrôlable donc? L'avis au sein de la communauté est tranché. Toutefois, des recommandations existent et même si l'on est allergique aux standards, la simple évaluation d'une liste de mesures administratives, physiques et informatiques ci-après peut révéler une exposition particulière au risque "vol interne":
  • Connaît-on la valeur marchande des différents types de données gérées par l'établissement?
  • Les collaborateurs sont-ils justement rémunérés et évalués par rapport à la concurrence?
  • Les CVs des collaborateurs ont-ils été analysés pour d'éventuelles incohérences?
  • Les relations entre le management et les autres collaborateurs sont-elles saines?
  • A quelles conditions les collaborateurs ont-ils un accès physique aux serveurs?
  • Les postes de travail sont-ils sécurisés contre les intrusions logiques et physiques? Empêche-t-on la connexion de périphériques de stockage mobile (téléphones équipés de cartes mémoire, clés USB, disques durs mobiles, CD-Roms inscriptibles, etc.)?
  • Les logiciels accédant aux données sensibles génèrent-ils des traces positives (traces d'événements normaux et légitimes) en plus des traces négatives (tentatives d'intrusion)?
  • L'établissement fait-il régulièrement analyser le contenu de ces traces?
  • A-t-on défini les critères qualifiés de "suspects" à rechercher dans les traces?

la nationalité des collaborateurs

L'origine du collaborateur est une question sensible qui pourrait mériter un article à elle seule, en particulier dans le climat actuel de tensions entre la France et la Suisse. La question essentielle est sa nationalité (ou ses nationalités) du collaborateur. Le pays d'origine du collaborateur est-il limitrophe? Dans certaines villes comme Genève, il suffit pour un collaborateur de nationalité française d'un simple billet de bus à 3.30.- pour quitter le pays et d'être quasi-assuré de ne pouvoir être extradé par son gouvernement. Le même problème se pose ainsi dans toutes les villes proches de frontières, et pire encore, dans les pays de très petite superficie, tels que le Luxembourg, où il est très difficile de conjuguer une réglementation particulièrement exigeante en matière de confidentialité bancaire et fiscale avec une main d'oeuvre quasi-exclusivement étrangère.

Quelques notions de bon sens (avouons-le, ce n'est pas si facile que ça d'en avoir de nos jours) permettent de réduire les risques: il appartient à l'organisation d'établir une classification du degré de confidentialité attendu/exigé de ses différents types de données et d'y attacher des ressources humaines posant un risque inférieur.

Toutefois, restons pragmatiques, il est impossible d'empêcher un collaborateur de se rendre dans un pays peu coopératif en matière d'extradition. Il n'existe donc pas de méthode infaillible. Comme on l'entend très souvent, "la sécurité à 100% n'existe pas" mais il y a un corollaire que l'on entend bien moins souvent: "ce n'est pas une raison valable pour ne pas réduire le risque!"


Conclusion


En résumé, la lutte contre le vol interne reposerait sur 4 grands groupes de mesures:
  • Des collaborateurs de confiance, sensibilisés et sous contrôle "légal."
  • Des services informatiques (matériel, systèmes, réseaux et logiciels) sécurisés et résistants aux attaques informatiques.
  • Des logiciels d'accès aux données offrant une traçabilité positive des événements, informant ainsi la banque de toute action "suspecte" ne constituant pas forcément une attaque informatique.
  • L'observation continue ou régulière des traces générées par le système d'information.

Paradoxalement, il faut préciser cette recette n'a pas encore vraiment eu l'occasion de faire ses preuves: les cas recensés par la presse au fil de l'année 2009 et 2010 ont démontré, sans exception, une négligence de l'un ou plusieurs de ces 4 groupes de mesures. Les contre-exemples restent encore à identifier.


Au cours de l'année 2009, 62 cas d'intrusion dans des établissements financiers avaient été rapportés, contre 22 sur le premier trimestre 2010. L'on observe donc une accélération dans la mesure où plus du tiers du nombre cas de l'année précédente a été atteint en un seul trimestre.

Il est important de noter toutefois que de nombreux cas sont encore communiqués au public dans les six à douze mois suivant la constatation de l'intrusion. Les chiffres collectés en mars concernant pour la plupart des intrusions réalisées en 2009, nous n'avons donc toujours pas une visibilité réelle sur la menace actuelle pesant sur les établissements financiers, bien que les chiffres laissent croire qu'elle est en croissance.

Comme indiqué plus haut, bien que le nombre d'attaques sur les établissements financiers soit sous-représenté, l'impact est généralement bien plus sévère!


Un autre élément intéressant que l'on relève est la valeur des informations mises à dispositions par les observatoires, facilitant énormément l'analyse et la compréhension des démarches d'intrusion dans les établissements. Ceci est dû à ces nouvelles lois sur la protection de la sphère privée et les données personnelles, imposant aux établissements de notifier leurs clients lorsque la confidentialité de leurs données est exposée.

La directive 96/46EC, actuellement en diverses phases d'implémentation dans chacun des pays membres de la Communauté Européenne, va elle aussi contraindre les organisations à communiquer sur les brèches.

Quelle est la situation en Suisse? La Loi fédérale sur la protection des données (LPD) régit actuellement les obligations des organisations en matière de protection des données personnelles. Qu'y trouve-t-on?
  • Que les données doivent être protégées contre tout traitement non autorisé. [nda: dans quelle mesure?]
  • Que le Conseil Fédéral édicte des dispositions plus détaillées sur les exigences en matière de sécurité des données [nda: où ces dispositions sont-elles publiées? comment les établissements trouvent-ils ces dispositions?]
  • Qu'une certification du système d'information en matière de protection des données peut être demandée, elle vérifie la bonne implémentation du guide "code de bonne pratique pour la gestion de la protection des données". [nda: ce guide, particulièrement bien caché, édicte les règles à respecter dans chacun des 9 principes régissant la protection des données] [nda: qui est l'organisme certifiant?]

En bref:

Nous avons encore un peu de chemin à parcourir. Heureusement, il reste encore la presse et ses délateurs, qui actuellement semblent être le seul moyen pour le citoyen suisse d'être averti des brèches de sécurité sur ses données personnelles!


(ce billet a été rédigé dans les toilettes d'un avion lors de son atterrissage, si vous trouvez des erreurs dans les chiffres, merci de m'en avertir!)

EDIT: comme d'habitude, un grand merci à Acerberos pour ses précisions et corrections!