Une nouvelle brèche dans les données est-elle suffisamment digne d'intérêt pour écrire un billet de blog ? Probablement pas, à moins qu'il n'y ait un lien personnel ou quelque chose d'intéressant. Dans le cas de Blackbaud, pour moi, il y a les deux. La majorité des clients de Blackbaud sont des organisations à but non lucratif telles que des universités, dont l'une détient des données concernant une personne que je connais. Cette université, comme l'exige le Règlement général de la protection des données de l'Union européenne, a envoyé à mon ami une notification officielle de la violation, qu'ils m'ont immédiatement transmise, réalisant son importance et que je pourrais avoir un avis. Ils avaient raison - d'autant plus que la notification précise que les destinataires de l'avis ne doivent rien faire d'autre que de rester vigilants et de signaler tout ce qui est suspect.
Blackbaud, une entreprise de logiciels dans le nuage, révèle qu'elle avait été victime d'une tentative d'attaque par un logiciel de rançon. Entre leur équipe de cybersécurité, un expert médico-légal et les forces de l'ordre, cette tentative a été déjouée avec succès. Malheureusement, l'auteur de l'attaque, avant d'être mis en quarantaine, a copié un sous-ensemble de données qu'ils ont ensuite proposé de supprimer moyennant une somme d'argent non divulguée. Blackbaud a payé la rançon pour effacer et a reçu la confirmation que les données avaient été détruites. Ils affirment avoir pris cette mesure parce que « la protection des données de [leurs] clients est [la] priorité absolue [de l’entreprise]».
Financer des cybercriminels de cette manière a de nombreuses conséquences : ils peuvent revenir plus tard en sachant que vous êtes prêt à payer, cela peut encourager d'autres personnes à attaquer, et notamment cela finance ce mauvais acteur pour qu'il lance une attaque sur la prochaine victime. Comme pour la pandémie actuelle, ce n'est que lorsque nous travaillons tous ensemble que nous pouvons débarrasser le monde des pires problèmes, comme les cybercriminels. Les actions de Blackbaud ou de toute entreprise qui paie des cybercriminels vont en sens contraire.
La notification envoyée par courriel par l'Université de York au Royaume-Uni, a avisé l'une des vraies victimes de ce crime (mon ami), dont les données ont potentiellement été violées. L'université fournit une explication détaillée de la situation et de nombreux moyens de la contacter pour obtenir de l'aide.
La notification donne une liste détaillée des types d'informations concernées : nom, sexe, date de naissance, adresse électronique, numéro de téléphone, et de nombreux autres éléments de données personnelles tels que les activités extrascolaires, la profession, l'employeur et le niveau d'études. Des données aussi détaillées peuvent être utilisées de différentes manières, l'usurpation d'identité et le harponnage étant les plus probables. Un courriel d'hameçonnage bien conçu qui exploite des informations personnelles sur un intérêt, une activité, une profession ou un employeur ou un concurrent est susceptible de produire un taux de clics et un vol de titres d'identité plus élevé pour un cybercriminel qu'un courriel d’hameçonnage plus générique.
Qu’est-ce qui manque?
Comme vous pouvez le voir dans le courriel, le conseil est de ne rien faire d'autre que de rester vigilant et de signaler toute activité suspecte. Fournir quelques conseils sur les types de menaces qui pourraient être déclenchées constitue le strict minimum qu'une organisation devrait offrir. Une option que de nombreuses entreprises victimes d'une brèche de données prennent est de proposer un suivi du vol d'identité, soit par l'intermédiaire d'une société spécialisée, soit par une agence de surveillance du crédit.
Les services de surveillance du vol d'identité parcourent la toile noire à la recherche d'informations telles que les adresses électroniques ou les numéros de sécurité sociale et vous alertent si quelqu'un tente d'obtenir un crédit en votre nom. L'offre d'un tel service, qui coûte normalement à la victime plus de 100 $ US par an pour un service de base, témoigne d'un comportement responsable, de la bonne volonté et, j'en suis sûr, apaise les organismes de réglementation qui enquêtent sur le comportement de l'organisation victime de la brèche.
VOUS AIMEREZ ÉGALMENT: Les conséquences d’une brèche de donnée : un fait vécu
Dans ce cas, aucun service de surveillance de la protection contre le vol d'identité n'était offert. J'ai donc conseillé à mon ami de demander si l'université ou Blackbaud avait l'intention de l'offrir. L'université est revenue presque instantanément avec les détails de la procédure d'inscription et l'offre d'un abonnement gratuit d'un an. Je me demande combien de victimes sont suffisamment informées pour savoir qu'un tel service existe ou qu'elles devraient le demander? À mon avis, il devrait s'agir d'une offre obligatoire pour toutes les victimes.
Permettez-moi d’insister : aucune action n'est nécessaire et aucune protection contre le vol d'identité n'est offerte - sauf si vous l’exigez. J'espère que vous pouvez ressentir la frustration dans mes paroles!
Le tableau général
Il n'est pas rare de recevoir un courrier électronique indiquant que vos données ont été impliquées dans une brèche de données. Par contre, savons-nous combien de brèches ont eu lieu et combien de personnes ont été visées?
En vertu de la loi californienne sur la protection de la vie privée des consommateurs (CCPA), toutes les entreprises et tous les organismes d'État sont tenus par la loi d'informer un résident de Californie s'ils soupçonnent ou savent que des informations personnelles non cryptées ont été acquises par une personne non autorisée. La loi exige également qu'une copie de la notification soit fournie au procureur général de Californie si elle a été envoyée à plus de 500 résidents californiens. Dans les 30 jours de juin 2020, 38 notifications de ce type sont répertoriées sur le site web, dont certaines concernent la brèche des données de Blackbaud.
Si nous supposons que ce taux est typique et que l'échelle est basée sur les estimations de la population californienne et mondiale, nous nous attendons à environ 7 500 brèches de données par mois. Selon statista, entre 2005 et 2019 inclus, les brèches de données aux États-Unis ont atteint en moyenne un peu plus de 155 000 enregistrements par vol. Je sais que c'est une mauvaise façon de calculer une statistique, mais permettez-moi... Si nous appliquons la moyenne des enregistrements par brèche à notre estimation de 7 500 brèche par mois dans le monde, nous obtenons une estimation d'un total annuel d'un peu moins de 14 milliards d'enregistrements violés. Une autre façon de voir les choses, si on veut simplifier : les données de chaque personne sur terre sont volées presque deux fois chaque année.
Il y a tellement de brèches de données qu'il est difficile de savoir combien de fois vos informations personnelles ont pu être volées par un cybercriminel sans envergure. Il faudrait peut-être prévoir un prix chaque année pour la personne qui a été victime du plus grand nombre de vols de données et un prix pour la personne qui n'a subi aucune brèche, si une telle personne existe.