S’il est une chose que l’Amérique nous envie, c’est bien l’imperméabilité de nos frontières, qui résistent aux nuages radioactifs et aux pertes de données bancaires, administratives ou médicales. Le bilan de l’ITRC –Identity Theft Resource Center-, organisation répertoriant les fuites d’identité sur le territoire US, vient de publier son bilan annuel. Au premier abord, la « croissance des pertes » est vertigineuse : 469 brèches de sécurité déclarées, plus de 222 millions d’enregistrements potentiellement dans la nature. L’an passé, les failles recensées étaient plus nombreuses -656- mais le nombre d’enregistrements à caractère personnel perdus était bien moindre : 35,7 millions. En d’autres termes, le volume des données perdues a augmenté selon un facteur de 6,2 d’une année sur l’autre.
Des statistiques qui vont faire se frotter les mains des marchands de DLP de tous crins. Mais des statistiques qu’il faut tout de même prendre avec une certaine prudence, car cette augmentation des « fuites déclarées » reflète également, courant 2009, la généralisation des lois d’Etat obligeant les exploitants de fichiers à rendre public ce genre d’accident. Encore est-on loin de la vérité. Certains états parmi les plus conservateurs ne considèrent cette publication obligatoire que sous certaines conditions : lorsqu’une intrusion a été techniquement prouvée et constatée, lorsque les données n’étaient pas chiffrées… les « disques égarés » et les « bandes perdues » n’entrant plus du tout dans les statistiques, pas plus que les disparitions non élucidées. On est donc loin des dispositions plus drastiques telles que celles imposées en Californie. Reste que les entreprises implantées dans différents Etats sont tenues de se plier aux règlementations d’Etat les « mieux-disantes » à l’égard des victimes potentielles.
Sont également à prendre en compte les affaires exceptionnelles, qui rendent parfois chaotiques les interprétations et faussent tout espoir de comparaison ou de moyenne lissée. Cette année, c’est le hack de l’intermédiaire Heartland Payement System qui donne une attaque de tachicardie au rapport de l’ITRC, avec quelque 30 millions de numéros de cartes de crédit dans la nature. A ceci s’ajoute une fuite de 76 millions d’enregistrements par l’armée US (bulletin ITRC20091002-02). Si la perte de Heartland était sans contestation possible le fruit d’un hack à l’échelle nationale, la perte signalée par l’armée n’était que le fruit d’une étourderie sans probable conséquence : le service de maintenance de la caisse de retraite des armées avait envoyé en maintenance un disque appartenant à un groupe d’unités montées en RAID 5, sans que le disque ait été dégaussé avant envoi. Difficile, parfois, de déterminer le niveau de risque associé à une perte.
Autre chiffre qui ne fera pas non plus plaisir aux vendeurs de DLP, 27% des fuites déclarées ont utilisé un « canal papier », contre 17% l’an passé. L’évasion par égarement d’un dossier en pochette cartonnée ou par sortie imprimante contourne sans problème les firewalls les plus sophistiqués et les consoles d’administration de GPO haut de gamme. C’est là une preuve d’adaptation certaine des fraudeurs aux contremesures techniques appliquées par les DSI. C’est également le signe d’une très nette dégradation des rapports de confiance entre les Directions et leurs cadres, situation qui n’est pas prête de s’améliorer si l’on en juge par les prévisions pessimistes des économistes pour l’année 2010.
1 commentaire