Des problèmes à long terme: les effets d’une violation de données pour les PME

Written By Guest User

C’est une croyance généralement répandue que les cybercriminels ciblent les grandes entreprises pour les violations de données; cependant, la vérité est qu’en 2021, les petites et moyennes entreprises (PME) étaient les cibles les plus importantes et les plus facilement accessibles pour ce type de crime. Le rapport de mi-année 2021 de la firme Sontiq a conclu que 69 % de toutes les violations de données pour cette année jusqu’à présent ont touché de petites entreprises. 

QU’EST-CE QU’UNE VIOLATION DE DONNÉES?

On parle de violation de données ou d’atteinte à la protection des données lorsqu’une personne malveillante s’empare de données qu’une organisation perd ou se fait voler. Souvent, les données piratées contiennent des informations sensibles et privées telles que les numéros d’assurance sociale, la date de naissance, les coordonnées du domicile, les numéros de permis de conduire et même des informations médicales et de santé. Les cybercriminels recherchent les faiblesses du système de cybersécurité d’une entreprise et s’attaquent à ces vulnérabilités pour exploiter des informations sensibles. La responsabilité des violations de données incombe aux entreprises qui n’ont pas réussi à sécuriser les informations des employés et des consommateurs. Ce sont aussi les entreprises qui sont responsables d’intervenir après de tels incidents. 

Voici des exemples de violations de données courantes :

  • Logiciels malveillants : les logiciels malveillants, ou maliciels, peuvent se présenter sous de nombreuses formes, telles que des virus, des vers, des chevaux de Troie et des rançongiciels. Ils peuvent être installés par une personne qui accède à un appareil de l’entreprise, par un employé qui ouvre un fichier joint contenant un logiciel malveillant, lors de la visite d’un site infecté ou simplement lorsque vous ne gardez pas vos appareils à jour. 

  • Hameçonnage : une attaque qui utilise généralement le courriel comme vecteur. Les pirates informatiques créent des courriels réalistes qui s’attaquent aux émotions de la victime dans le but de déclencher une réponse irréfléchie tels que cliquer sur un lien ou un fichier joint infecté. 

LE DÉFI POUR LES PETITES ET MOYENNES ENTREPRISES

Les petites et moyennes entreprises sont confrontées à un défi unique en matière de violations de données. En raison de leur taille, consacrer les ressources nécessaires à la sécurité des données peut être considéré comme un obstacle, et ces considérations sont parfois ignorées au profit de besoins financiers plus urgents. Les petites entreprises peuvent également ne pas disposer des ressources ou des connaissances nécessaires pour élaborer et mettre en œuvre une politique et une stratégie d’intervention en matière de cybersécurité. Par conséquent, les PME sont exposées aux cybermenaces, comme les atteintes à la protection des données, qui peuvent être évitées en éduquant les employés sur les cyberrisques et sur la façon de reconnaître les atteintes potentielles à la protection des données.  

Selon une étude menée en 2017 par Small Business Trends, seulement 14 % des petites entreprises évaluent comme très efficace leur capacité à se protéger contre les cyberrisques. Parmi les entreprises ayant participé à l’étude, 50 % ont déclaré avoir été victimes de violations de données au cours de la dernière année lors d’atteintes affectant des informations sensibles sur des employés et des clients. 

EFFETS À COURT TERME D’UNE VIOLATION DE DONNÉES

Une fois que vous réalisez que votre organisation a subi une violation de données, il est temps de commencer à réparer les dégâts. Les étapes initiales de l’intervention après une violation de données sont généralement les suivantes :

  • Paiement d’amendes et de frais directs

  • Enquêtes judiciaires coûteuses

  • Coûts de sécurité futurs tels que la surveillance du crédit pour les clients affectés par la violation

  • Coût du remplacement des cartes, de la réparation du vol d’identité et d’autres exigences de conformité en fonction de la gravité de l’atteinte.

EFFETS À LONG TERME D’UNE VIOLATION DE DONNÉES

Bien que le coût initial et les dommages causés à l’image de marque de l’entreprise après une violation de données puissent être stupéfiants, ces conséquences ont un effet d’entraînement qui peut nuire à votre organisation pour les années à venir. Parmi les cicatrices durables d’une violation de données, notons :

  • Amendes de conformité, frais juridiques, primes d’assurance

  • Baisse des ventes

  • Perte de confiance des consommateurs

  • Dommages durables à l’image de marque

La plus grande conséquence à long terme d’une violation de données est la perte de la confiance des clients. 

Une étude menée en 2017 par PwC a conclu que 92 % des consommateurs ont déclaré que les entreprises doivent être plus proactives en matière de cybersécurité et de cyberrisque. 

Il suffit d’une seule violation de données pour ternir la réputation d’une entreprise et perdre la confiance des clients, et réparer les dommages causés à la réputation d’une entreprise peut prendre plusieurs années. En réalité, il a été rapporté que 85 % des consommateurs ne feront pas affaire avec une entreprise qui a récemment subi une violation de données, et 29 % des personnes sondées ont déclaré qu’elles ne feraient plus jamais affaire avec une entreprise qui a subi une violation de données par le passé. 

LE COÛT D’UNE VIOLATION DE DONNÉES

Le coût moyen d’une atteinte à la protection des données pour les petites et moyennes entreprises est de 149 000 $. Cependant, la plupart des PME ne reconnaissent pas le coût qu’entraînerait une violation de données. Dans une étude de 2019, les dirigeants des PME ont estimé qu’une violation de données ne leur coûterait que 10 000 $, et moins de 20 % des participants ont reconnu que les coûts de tels incidents pourraient atteindre plus de 100 000 $. En 2020, le coût moyen par enregistrement pour les données violées était de 150 $. Même si seulement 100 enregistrements sont affectés par une atteinte à la protection des données, le coût de ces quelques enregistrements est de 15 000 $, soit 5 000 $ de plus que le coût total estimé d’une violation de données par les dirigeants de PME. En raison des effets à long terme et à court terme d’une violation de données, Sontiq rapporte que 60 % des petites entreprises sont obligées de fermer dans les 6 mois qui suivent une violation de données. 

 

VIOLATIONS DE DONNÉES RÉCENTES

Maine Drilling and Blasting, Suwanee, Géorgie – janvier 2021

  • Les informations consultées comprennent le numéro d’assurance sociale, le numéro de permis de conduire, la date de naissance, les informations bancaires et de carte de paiement, ainsi que des informations sur la santé.

  • Après l’attaque, Maine Drilling and Blasting a sécurisé son réseau et a engagé un enquêteur informatique judiciaire indépendant.

  • Il a finalement été déterminé qu’une personne externe à l’entreprise avait accédé à son réseau informatique.

  • La violation de données a touché près de 454 personnes.

Pour plus d’informations, cliquez ici

Colorado Retina Associates, Denver, Colorado – janvier 2021

  •  Les informations consultées comprennent le nom, le numéro d’assurance sociale, les comptes financiers et les informations sur les traitements médicaux de certaines personnes.

  • Une fois l’atteinte identifiée, l’entreprise a ouvert une enquête et a demandé l’aide d’un enquêteur indépendant en fraude informatique et a sécurisé tous les comptes de messagerie des employés.

  • Le personnel non autorisé a piraté deux comptes de messagerie professionnels d’employés et a utilisé ces comptes pour envoyer des courriels d’hameçonnage à d’autres employés et à des personnes dans leurs listes de contacts.

  • La violation de données a touché 26 609 personnes.

Pour plus d’informations, cliquez ici

 

Rehoboth McKinley Christian Healthcare, Gallup, Nouveau-Mexique – février 2021

  • Les renseignements consultés comprennent le nom, l’adresse, la date de naissance, le numéro d’assurance sociale, le permis de conduire, les antécédents médicaux personnels et les renseignements sur les soins de santé de certaines personnes.

  • Une société indépendante de fraude informatique a été embauchée pour participer à l’enquête.

  • Il a été découvert qu’un échantillon des fichiers volés avait été téléchargé sur un site de fuite de données afin de faire pression sur le fournisseur de soins de santé pour qu’il paie une rançon. Il n’a pas été divulgué publiquement si une rançon a été payée. 

  • La violation de données a touché 207 195 personnes.

Pour plus d’informations, cliquez ici

 

QUE FAIRE APRÈS UNE VIOLATION DE DONNÉES

  1. Identifier la cause de la violation, comment elle s’est produite et de quel type d’attaque il s’agissait. C’est également le moment où il serait nécessaire d’établir une stratégie de contrôle des dommages pour éviter que toute autre information sensible ne soit accessible au pirate informatique à l’origine de l’attaque. 

  2. Constituez une équipe d’intervention en cas d’incident. Idéalement, cette équipe devrait déjà être mise en place et ses coordonnées devraient déjà avoir été distribuées aux employés afin qu’ils puissent communiquer directement avec celle-ci en cas d’atteinte à la protection des données. 

  3. Signalez qu’une violation s’est produite. Si des données personnelles sont en jeu, les entreprises doivent signaler qu’une violation s’est produite dans un délai de 72 heures suivant la détection de la violation. Besoin d’aide pour créer un avis de violation de données ? Beauceron Security fournit SANS FRAIS des modèles d’avis de violation de données afin que vous n’ayez pas à le faire.

  4. Sécurisez tous les systèmes. Les violations de données se produisent en raison de vulnérabilités dans vos systèmes, il est donc important de prendre note de ces vulnérabilités et de tenter de les corriger. 

  5. Évaluez la violation de données et la réponse de votre équipe à la violation. Qu’est-ce qui aurait pu être fait pour prévenir la violation? Quelle a été la réaction de votre équipe face à la violation? C’est également le bon moment de commencer à travailler sur l’éducation et la formation du personnel afin de prévenir de futures atteintes à la protection des données. 

Savoir exactement quoi faire, quand le faire et comment le faire peut être intimidant à la suite d’une violation de données. Prenez les devants et déjouez les cybermenaces en élaborant un plan de reprise des activités à l’aide de l’un des modèles GRATUITS de Beauceron Security.

 

COMMENT ÉVITER LES VIOLATIONS DE DONNÉES

La meilleure façon d’éviter les violations de données est d’éduquer les employés par le biais d’une formation de sensibilisation à la cybersécurité. Les entreprises qui ont éduqué et informé leurs employés peuvent réduire le risque d’être victime d’une violation de données. La plateforme Beauceron offre aux employés la formation nécessaire pour les aider à repérer les risques d’atteinte à la cybersécurité et à se soucier davantage de la cybersécurité. Les employés bien renseignés sont en mesure de prendre des décisions éclairées qui peuvent transformer le pire cauchemar d’une entreprise en un désastre facilement évité. 

Former les employés à une bonne méthode de sélection des mots de passe (ne pas réutiliser le même mot de passe ou plusieurs versions d’un même mot de passe), utiliser des réseaux fiables et sécurisés et utiliser l’authentification à deux facteurs sont toutes des mesures qui contribuent à réduire les cyberrisques auxquels s’expose une entreprise. Avec des cours personnalisables, la plateforme Beauceron vous donne la liberté d’identifier les faiblesses de votre organisation et d’attribuer des cours en fonction des besoins de votre entreprise. 

Des employés sensibilisés sont la meilleure défense de votre entreprise contre les violations de données. Cliquez ici pour commencer à protéger votre entreprise dès aujourd’hui.


Guest User
Previous

Un véritable cybercrime: l’histoire de l’affilié - 3e partie
Next

Un véritable cybercrime: l’histoire de l’affilié (2e partie)