Les violations de données les plus dommageables sont évitables : voici comment

Nous savons tous que de nombreuses organisations pourraient améliorer la protection des données. Le gouvernement britannique Enquête sur les violations de la cybersécurité 2025 met en lumière toute une série de lacunes – de la sensibilisation à la réponse aux incidents – qui les exposent indirectement aux cyberrisques. Même l'existence d'un cadre rigoureux de protection des données (RGPD/loi sur la protection des données de 2018) depuis sept ans n'a pas permis d'enrayer la vague. réclamations du gouvernement plus de deux cinquièmes (43 %) des entreprises britanniques ont subi une attaque ou une violation au cours des 12 derniers mois.

Il existe cependant de nombreuses possibilités de gains rapides, comme le souligne un nouveau rapport de Sécurité du chasseur. Il note que 30 % des incidents signalés aux autorités britanniques et australiennes de protection des données l'année dernière étaient responsables de 90 % des victimes de violations. À ce titre, les conclusions du rapport pourraient offrir aux organisations à court de fonds un outil utile pour concentrer leurs efforts immédiats.

En quoi le Royaume-Uni et l'Australie diffèrent-ils ?

Huntsman Security a soumis une demande d'accès à l'information (FOI) au Bureau du Commissaire à l'information du Royaume-Uni (ICO) et au Commissaire à l'information de l'Australie (OAIC). Les résultats dressent un tableau légèrement différent du paysage réglementaire et de la sécurité des entreprises dans chaque pays.

UK : Sur les 9,654 2,817 incidents de sécurité des données signalés par les entreprises britanniques à l'ICO l'année dernière, 29 80 (13.9 %) étaient liés à des attaques par force brute, des logiciels malveillants, du phishing, des rançongiciels et des erreurs de configuration du système. Pourtant, ces incidents ont représenté près de 17.6 % des victimes de violations : XNUMX millions sur XNUMX millions.

Huntsman Security a affirmé que ces incidents représentaient également 90 % des incidents de sécurité des données liés à la cybersécurité, ce qui signifie qu'une attention particulière portée aux contrôles de sécurité pourrait être un moyen efficace de les atténuer. Nombre d'entre eux étaient apparemment très ciblés et, par conséquent, conçus pour entraîner le vol de données de grande valeur, telles que des dossiers médicaux, des informations financières et des documents d'identité.

Australie: Au total, 1,188 32 incidents (2022 % du total signalé entre 24 et 77) impliquaient des attaques par force brute, des logiciels malveillants, du phishing, des rançongiciels, du piratage informatique et des accès non autorisés. Ces incidents étaient responsables de 62 % des enregistrements compromis. Le rapport révèle également que les attaques criminelles (par opposition aux violations accidentelles) représentaient 98 % de toutes les violations, mais XNUMX % des victimes.

Le rapport souligne également qu'en Australie, il a fallu 48 jours aux organisations pour identifier ces violations et 86 jours avant de les signaler à l'OAIC. Ce délai est tout simplement interdit par le RGPD, qui prévoit que la notification doit intervenir dans la plupart des cas dans les 72 heures.

Là où le Royaume-Uni échoue

Ces conclusions concordent quelque peu avec le rapport sur les violations de données du gouvernement britannique. Comme indiqué précédemment par ISMS.en ligne, il met en évidence une litanie de problèmes contribuant à une augmentation des incidents de violation de données évitables, notamment un manque général de :

• Programmes de formation du personnel, où la participation n'avait pas changé par rapport au rapport de l'année précédente
• Examens des risques des fournisseurs tiers, qui ont été menées par seulement 32 % des moyennes entreprises et 45 % des grandes entreprises
• Plans de réponse aux incidents, qui n'étaient utilisés que par la moitié (53 %) des entreprises de taille moyenne et les trois quarts (75 %) des grandes entreprises
• Stratégie de cybersécurité : seulement 57 % des entreprises de taille moyenne et 70 % des grandes entreprises en avaient un
• Représentation au conseil d’administration pour la cybersécurité : seulement la moitié (951 %) des moyennes entreprises et les deux tiers (66 %) des grandes entreprises avaient une personne à la table de direction responsable de la cyberstratégie – un chiffre pratiquement inchangé depuis trois ans
• Mises à jour mensuelles sur la cybersécurité pour les chefs d'entreprise, ce que font seulement 39 % des moyennes entreprises et 55 % des grandes entreprises

Aligner les meilleures pratiques sur les normes

Les chiffres de Huntsman Security comportent une réserve. Ils ne comptabilisent que les incidents pour lesquels une cause a pu être identifiée pour chaque violation. Beaucoup d'autres n'en ont peut-être pas été identifiés en raison d'une analyse forensique ou d'une réponse aux incidents défaillante. Cependant, ils mettent en lumière un message important : en se concentrant sur les types d'incidents et de menaces mentionnés ci-dessus, ainsi que sur les meilleures pratiques en matière de cybersécurité pour atténuer ces risques, les équipes de sécurité peuvent obtenir des résultats rapides et utiles.

Morten Mjels, PDG du cabinet de conseil Corbeau vert, soutient que la culture est essentielle pour garantir que les meilleures pratiques soient suivies.

« Le changement doit venir du sommet, et vous pouvez changer la culture en mettant simplement en œuvre plusieurs pratiques simultanément », explique-t-il à ISMS.online. « Si vous n'avez aucune idée de votre exposition potentielle, faites réaliser une évaluation des risques par un professionnel. Il saura identifier les failles dans vos systèmes et vous aider à les corriger. Ne comptez pas sur vos informaticiens pour tout résoudre ; ils ne sont pas des faiseurs de miracles omniscients. »

Piers Wilson, responsable de la gestion des produits chez Huntsman, explique à ISMS.online que les normes et cadres comme ISO 27001 et ISO 27701 « peuvent constituer un élément important de l'atténuation des cyber-risques en garantissant que les organisations comprennent leurs risques, en suivant les meilleures pratiques et en définissant des contrôles appropriés. »

Il ajoute : « L'important est de choisir le cadre que vous appliquez : qu'il s'agisse de l'ISO, du NIST ou de normes et de programmes plus petits et plus ciblés comme Cyber Essentials ou Essential Eight en Australie. »

L’objectif devrait être d’établir un ensemble de contrôles qui soient largement compris et reconnus, puis appliqués universellement, ajoute-t-il.

« Dans la plupart des cas, le problème n'est pas l'intention ou la politique, mais l'exécution. La conformité aux normes risque de devenir un exercice de vérification, et la fréquence des audits et des rapports peut être insuffisante face aux cybermenaces modernes et évolutives », explique Wilson.

Un audit annuel ou un rapport trimestriel n'offre pas la visibilité et la compréhension en temps réel des vulnérabilités qu'exige le paysage des menaces modernes. Entre ces audits, la posture de l'organisation peut fluctuer et devenir largement incertaine.

C'est pourquoi la norme ISO 27001 exige que les organisations effectuent des audits internes réguliers et un suivi continu pour favoriser une amélioration continue.

Wilson souligne qu’une communication efficace est essentielle pour parvenir à la conformité.

« Chaque partie prenante d’une organisation, des analystes de sécurité aux équipes de gestion des risques et aux dirigeants, doit comprendre en un coup d’œil si les bonnes pratiques convenues sont suivies, quels sont les contrôles d’état réellement en place et qui est responsable de la résolution des problèmes », conclut-il.

« Assurer cette visibilité et cette communication continues est essentiel pour que ces normes produisent l’effet souhaité. »