Glossaire relatif à la confidentialité

Violation de données

A B C D E F G H I J K L M N O P Q R S T U V W X Y Z

Qu’est-ce qu’une violation de données ?

L’accès non autorisé ou la divulgation d’informations sensibles, souvent en raison d’une cyberattaque ou d’une erreur humaine. Les violations se produisent lorsque des données stockées dans un système (souvent celui d’une entreprise ou d’un gouvernement) se retrouvent entre de mauvaises mains. Une violation de données peut être préjudiciable à la fois pour les propriétaires de la base de données et pour les personnes dont les données ont été divulguées.

Une violation de données peut résulter du vol physique de matériel, ou de piratage sophistiqué (parfois même réalisé par un « insider »). Les données compromises sont généralement sensibles; par exemple, la propriété intellectuelle de l’entreprise, les secrets gouvernementaux ou les données des clients comme les numéros de carte de crédit, et sont utilisées à des fins financières. Mais les données peuvent également être utilisées à des fins sociales ou politiques.

Comment se produit une violation de données ?

Une violation de données peut se produire lorsqu’un pirate informatique exploite une faiblesse dans les systèmes de cybersécurité d’une entreprise. Cela peut être aussi simple qu’un ordinateur portable volé contenant des informations sensibles non sécurisées ou des identifiants d’accès. Un employé pourrait accidentellement transmettre des données à la mauvaise personne, ou même divulguer intentionnellement des données à un journaliste ou à une autre organisation. Le hameçonnage (phishing) et l’ingénierie sociale sont également couramment utilisés pour voler des identifiants de connexion qui donnent accès aux données.

À quoi servent les données ?

Les données personnelles, telles que les noms, numéros de sécurité sociale, numéros de carte de crédit, informations de santé et bancaires et identifiants de connexion, peuvent toutes être utilisées pour voler des comptes ou être vendues en ligne. Les données classifiées des entreprises et des gouvernements peuvent être volées à des fins de dénonciation ou de chantage. Parfois, les données volées ne sont jamais rendues publiques, mais la menace de le faire suffit à extorquer des paiements de rançon.

Pour une entreprise subissant une violation, les coûts peuvent inclure des amendes, des règlements et des frais juridiques ; préjudices à la réputation et perte de clients. Selon une étude récente, le coût moyen d’une violation pour une entreprise est d’environ 1,5 million USD. Une attaque de rançongiciel (ransomware) peut coûter encore plus, car elle comprend également le prix de la rançon.

Les coûts financiers d’une violation sont importants, mais le coût en temps et le stress émotionnel pour une personne dont les données personnelles sont compromises peuvent également s’ajouter.

Que font les organisations pour protéger leurs données ?

Pour protéger les données, les organisations adoptent de bonnes pratiques de cybersécurité comme limiter qui a accès aux données sensibles et utiliser des protocoles de connexion améliorés tels que l’authentification multifacteur. Elles forment également les employés aux menaces d’ingénierie sociale et sur la sécurisation des appareils physiques tels que les ordinateurs portables ou les téléphones.

Récemment, il y a eu une pression accrue sur les entreprises pour limiter la quantité de données qu’elles collectent et stockent. Cela a des effets positifs tant en matière de confidentialité qu’en matière de sécurité. Moins de données sont exposées lors d’une violation, moins il y a de dommages pour toutes les parties concernées.

Réglementations sur les violations de données

Certains gouvernements exigent une notification lorsqu’une violation est découverte, avec des règles variables quant à la rapidité de cette notification, aux niveaux des amendes et aux possibilités de réparation pour les individus. Ces réglementations ne s’appliquent généralement pas aux données chiffrées, car les données chiffrées ne sont pas lisibles et ne présentent donc pas de risque.

Certaines des réglementations les plus importantes de ces dernières années incluent :

  • Le RGPD : exige la notification d’une violation auprès du département de régulation dans les 72 heures et la notification des individus « sans délai excessif ». Les amendes pour ne pas le faire peuvent atteindre 10 millions ou 20 millions d’euros, voire plus, et varient en fonction de la « nature, gravité et durée » de la violation.
  • La CCPA : exige une notification sous 72 heures aux individus concernés et au gouvernement si elle affecte une population suffisamment grande. Les amendes sont payables directement aux individus concernés et peuvent donc s’accumuler considérablement si la violation de données est importante.
  • Le HIPAA : exige une notification au Département américain de la Santé et des Services sociaux ainsi qu’aux individus concernés dans un délai de 60 jours. Les amendes sont basées sur la gravité et le nombre d’individus concernés. Elles varient de 100 à 50 000 $ par violation individuelle, jusqu’à 1,5 million de dollars.
  • CIRCIA (Cyber Incident Reporting for Critical Infrastructure Act) : une loi américaine qui exige que certains secteurs d’activité notifient la Sécurité intérieure dans les 72 heures suivant une violation.

Que faire si vous recevez une notification de violation

Si vous recevez une lettre ou un e-mail indiquant que vos données personnelles peuvent avoir été impliquées dans une violation, la première étape consiste à vérifier sa légitimité et s’assurer qu’il ne s’agit pas d’une tentative de hameçonnage (phishing). Si c’est réel, vous devez prendre les mesures suggérées et vous inscrire à tout service de surveillance de crédit gratuit qui pourrait être proposé. De plus, assurez-vous de faire ce qui suit :

  • Changez votre mot de passe sur ce site immédiatement, ainsi que sur les autres sites où vous utilisez le même mot de passe. Changez les NIP des cartes de crédit ou de débit affectées, ainsi que de toutes les autres cartes ayant le même NIP. Et définissez des mots de passe et des NIP forts et uniques à l’avenir.
  • Vérifiez la date de la violation et examinez l’activité des comptes affectés à partir de cette date. Recherchez des activités inhabituelles, comme un changement d’adresse, de numéro de téléphone ou de détails de facturation.
  • Notez que toutes les violations ne sont pas découvertes rapidement ; il peut y avoir un décalage entre le moment où vos comptes ont été compromis et le moment où vous avez été notifié. Vous devriez donc répéter périodiquement cette vérification de l’activité des comptes, et surveiller de près les relevés mensuels pour déceler toute activité inhabituelle future.
  • Conservez la lettre de notification de violation de données, au cas où vous auriez besoin de prouver à l’avenir que vos données ont été compromises.
  • Déposez des alertes de fraude auprès des principaux bureaux de crédit pour vous protéger contre l’utilisation de données volées, afin d’obtenir un prêt ou une carte de crédit à votre nom.

Comment puis-je protéger mes informations personnelles ?

Il n’y a pas grand-chose que vous puissiez faire en tant qu’individu pour protéger vos données une fois qu’elles sont dans la base de données de quelqu’un d’autre ; en général, vous devez compter sur le propriétaire des données pour appliquer une bonne cybersécurité. Cependant, vous pouvez faire attention à l’endroit et au moment où vous fournissez vos données personnelles, afin qu’elles soient moins exposées à une violation de données :

  • Utilisez des mots de passe différents pour chaque site et application. Utilisez un gestionnaire de mots de passe pour stocker en toute sécurité tous vos mots de passe et pour générer des mots de passe aléatoires et uniques pour chaque compte et site web que vous accédez. Si tous vos mots de passe sont différents, une violation qui expose un mot de passe ne compromettra que ce compte.
  • Minimisez le nombre d’endroits où vos données sont stockées pour réduire ainsi l’exposition possible au vol de données. Par exemple, configurez des paiements automatiques via le système de paiement de votre banque plutôt que sur chaque site de compte. Cela réduit le nombre de bases de données où les informations de votre compte bancaire sont stockées.
  • Activez l’authentification à deux facteurs (2FA), ou l’authentification multifacteur, sur tous les comptes qui la prennent en charge. (Il s’agit généralement d’un code numérique unique et ponctuel requis avant de pouvoir accéder à votre compte sur un site ou une application). Même si une violation de données expose votre mot de passe, ceux qui l’obtiennent n’auront pas votre second facteur et seront donc toujours bloqués de l’accès à vos comptes.

Utiliser un navigateur avec de fortes protections en matière de confidentialité et de sécurité, comme le navigateur Brave, limitera aussi le risque que vos données tombent entre de mauvaises mains :

  • Le navigateur Brave inclut la navigation sécurisée, qui peut aider à prévenir les violations de données en protégeant contre les sites web malveillants.
  • Le bloqueur de pub intégré de Brave, appelé Boucliers Brave, peut bloquer les publicités malveillantes et trompeuses, en partie grâce à l’utilisation de listes de filtres. C’est aussi plus sûr que les extensions du navigateur, qui peuvent elles-mêmes introduire de nouveaux risques pour la sécurité.
  • Brave met automatiquement à niveau les connexions vers le plus sécurisé HTTPS. Vérifiez que l’URL commence par https:// (et non “http://”). Cela indique que vos données sont cryptées pendant le transfert. Bien que cela ne garantisse pas que vos données soient stockées de manière cryptée, cela peut améliorer les chances.

Prêt à braver le nouvel Internet avec Brave ?

Brave a été conçu par une équipe de pionniers du Web axés sur les performances et la confidentialité. Aidez-nous à rendre la navigation meilleure.