Les petites institutions financières, cibles privilégiées des hackers
Beazley, assureur de premier plan spécialisé dans les interventions en cas de violation de données personnelles, a publié les résultats du premier semestre 2016 de son étude Beazley Breach Insights, fondée sur la réponse apportée à plus de 4 000 violations de données depuis son lancement en 2009.
En cette fin de premier semestre 2016, Beazley Breach Response (BBR) Services s'est occupé de 955 affaires de violation de données pour le compte de ses clients. Une hausse significative comparée à la même période de l'année précédente où la société avait alors traité 611 dossiers. Les incidents se concentrent à nouveau dans les secteurs des services financiers, de la santé et de l’enseignement supérieur.
Chiffres clés :
Sur tous les secteurs présents au portefeuille de Beazley, la proportion de violations de données dues à un piratage informatique ou à une attaque de logiciel malveillant au cours des six premiers mois de l'année atteint 31 %, soit le même niveau qu'en 2015 (32 %).
Les banques et les coopératives de crédit dont le chiffre d'affaires annuel est inférieur à 35 millions de dollars représentent 81% des victimes d'actes de piratage informatique et de logiciels malveillants constatées en 2016 contre des institutions financières. Il s'agit d'une forte augmentation par rapport à 2015, où cette proportion s'élevait à 54% ;
Services financiers
Après le secteur de la santé, ce sont les institutions financières, et plus particulièrement celles dont le chiffre d'affaires n'excède pas 35 millions de dollars, qui ont subi les violations de données les plus graves. En effet, ces petites institutions financières détiennent des informations personnelles de valeur et ne disposent généralement pas de systèmes de sécurité informatique à la hauteur de ceux de leurs homologues de grande taille, ce qui en fait des cibles de choix pour les hackers. Sur l'année 2015, le piratage informatique et les attaques de logiciels malveillants constituaient 27% des 128 violations de données d'institutions financières traitées par Beazley. Sur le premier semestre 2016, ce pourcentage subit une importante croissance en atteignant 43 % des 139 affaires traitées.
Enseignement supérieur
Les institutions d'enseignement supérieur continuent à subir une part importante des violations de données sous la forme de piratage informatique ou de logiciels malveillants, qui représentent 46 % des violations constatées durant le premier semestre 2016, contre 35 % sur toute l'année 2015.
Organisations de santé
Au sein des organisations de santé, les violations de données sous la forme de divulgations non intentionnelles représentent 42 % de tous les incidents sur le secteur en 2016 jusqu'ici, soit une forte hausse par rapport aux 30 % constatés en 2015. Ce phénomène est dû au grand volume d'informations échangées par les acteurs du secteur. En 2016, 18 % des violations de données dans le secteur de la santé ont été provoquées par piratage informatique ou par attaque de logiciel malveillant, contre 27 % en 2015.
La menace des ransomware à son plus haut niveau
Le « rançongiciels » (ou ransomware), logiciels de demande de rançon, est en progression constante : sur le premier semestre 2016, il y a eu deux fois plus d'attaques de ce type traitées par Beazley que sur toute l'année 2015 (86 contre 43).
Face à cette hausse, Europol, l’Office européen des polices, a lancé le 25 juillet 2016 un site Internet destiné à combattre l’extorsion par piratage informatique. En effet, lors de ces attaques, les hackers prennent le contrôle des PC, tablettes et smartphones en utilisant des ransomware et réclament ensuite de l’argent à l’utilisateur de l’appareil en échange du code de déblocage des données. L’initiative « No more ransom » est un nouveau portail en ligne qui prévient le public des dangers et aide à récupérer ses données sans avoir à payer les cybercriminels.
D’après l’étude Beazley Breach Insights, si le nombre d’attaques de ransomware continue sur cette lancée, il pourrait doubler d’ici la fin de l’année 2016.
Quatre étapes à suivre par les institutions financières pour protéger leurs données
Afin de s’approcher au maximum de la sécurité informatique parfaite, les organisations peuvent entreprendre certaines démarches afin de protéger efficacement leurs données. Voici les quatre pratiques clés que les institutions financières peuvent adopter pour minimiser les risques :
- Installer des outils de prévention et de détection ;
- Faire appel à des services de renseignement sur les menaces ;
- Former les directeurs et collaborateurs à la sécurité informatique et les sensibiliser aux menaces ;
- Réaliser une évaluation des risques axée sur l'identification et la protection des données sensibles.
Vos réactions