KPMG, de son côté, publie l’exact pendant de l’étude de l’ITRC, mais focalisé essentiellement sur l’industrie, et ne portant que sur les 6 premiers mois de l’année 2009. L’accent est mis dès les premières pages sur les vilains « insiders » dont la progression des méfaits est en hausse de 50%… ça va faire trembler dans les chaumières. Les collaborateurs véreux, cancer de l’entreprise, catalyseurs de tous les prétextes à la fouille patronale et à vidéosurveillance, ont été responsables de la fuite de 100 000 enregistrements en 2008 et 1,6 millions en 2009. Progression impressionnante, mais volumétrie ridicule en regard des autres facteurs de perte. Chiffres à comparer aux 97 millions d’enregistrements déclarés « enfuis » l’an passé et 105 millions cette année. L’abominable Insider ne constitue donc pas même 2% des pertes d’information mais peut coûter, si l’on examine les tendances des marchés DLP et assimilés, plus de 30% des budgets sécurité des entreprises. La première conséquence que risque de provoquer la « psychose du traître de l’intérieur » est précisément d’établir un climat de suspicion qui a de fortes chances d’éveiller des vocations de « traître de l’intérieur ». Ce qui ne veut pas dire qu’il ne faille pas appliquer un stricte contrôle des GPO et des médias d’accès.
Si l’on tente de répertorier les causes de ces pertes, le hacking, toujours selon KPMG, vient en première place, avec un record de 105 millions d’identités affectées. Loin devant les « Web & network exposures » (2,7 millions), autrement dit les failles réseaux et Web, les défauts de configuration et les imperfections de programmes. Rien de nouveau sous le soleil si l’on suit avec attention les travaux de groupes tels que l’Owasp, de l’APWG et autres observateurs de la sphère cybercriminelle.
Sur la période janvier/juin 2009, les données les plus volatiles ont été celles contenant des informations bancaires, numéros de cartes de crédit ou de compte, avec 100 millions d’enregistrements déclarés perdus. Nihil nove sub sole. Viennent ensuite les identifiants gouvernementaux (plus de 4 millions de numéros d’ID perdus par l’Administration Fédérale) et les informations financières (2,5 millions d’enregistrements). Ces proportions sectorielles sont toutefois à prendre avec des pincettes, car plus de 15 millions de données volatilisées, toujours durant les 6 premiers mois de l’année 2009, sont classées dans les catégories « autres informations personnelles » et « divers et inconnus ». Ces chiffres confirment d’ailleurs d’autres études prouvant le manque de maîtrise des contenus informatiques dans certains domaines moins contraints par les normes de sécurité. D’autres études, notamment celle récemment publiée par Cyber-Ark (https://www.cnis-mag.com/se-payer-sur-la-bete-une-reponse-a-la-recession.html), tendaient à prouver que les secteurs de la grande distribution et de l’agroalimentaire étaient moins attentifs et précautionneux que les entreprises des domaines techniques ou financiers. L’on se doute qu’il y a là la preuve d’une influence plus ou moins prégnante d’une « culture IT » dans les industries tertiaires.
Sur les vecteurs et moyens de pertes d’informations, là encore, l’étude de KPMG « colle » à celle de l’ITRC. Les méthodes de vols les plus prisés utilisent dans 46% des cas via les canaux de messagerie électronique, dans 22% le support papier, tandis que 9% des détournement se font par le biais d’unités de stockage externes (clefs usb, disques amovibles, disquettes, CD-ROM) et 7% empruntent les voies détournées et complexes des « activités suspectes sur les bases de données ». Là encore, l’évolution des chiffres montre à quel point les dangers que l’on craint le plus sont généralement ceux qui sont le moins probables.
Si les mécanismes des vols d’information sont parfois contestés et toujours mouvants, leurs destinations (leurs premiers bénéficiaires) sont sans conteste les concurrents directs, affirment les statisticiens de KPMG. Dans 70% des cas, une information volée « moved to competitor ». Dans 1% des cas, cette information est vendue. Peut-être est-ce là la preuve que le « competitor » en question ferme volontiers les yeux à un cheval donné, même si sa provenance est douteuse, mais qu’il n’est pas prêt à tremper activement dans un véritable trafic de données. Voilà qui ne peut que rappeler l’affaire du fichier HSBC que le Ministère du Budget « n’aurait en aucun cas acheté ». Recel de fichier est à moitié pardonné.
Aussi impressionnants soient-ils, ces chiffres sont pourtant très loin de refléter la réalité, insiste le rapport. « le Baromètres des pertes de données a recensé plus de 2300 incidents, lesquels ont concerné au total près de 700 millions d’individus. Mais comme la majorité des atteintes ne sont pas déclarées, il y a de fortes chances que [ces chiffres] représente la partie émergée de l’iceberg ». D’ailleurs, en lisant entre les lignes dudit rapport, les chercheurs de KPMG avancent des explications sur l’origine de la baisse drastique des pertes de données liées aux composants mobiles. Les clefs USB ou les téléphones égarés constitueraient de plus en plus la « banalité du quotidien » et seraient donc moins susceptibles d’êtres rapportés… à quelques affaires exceptionnelles près. Les pertes de bandes magnétiques sont en chute libre, les clefs USB et CD baladeurs se volatilisent dans le domaine de l’acceptable, et seuls les disques durs voient leurs taux de perte croître de manière significative. Peut-être en raison du coût que représente l’équipement et de sa taille par rapport à une clef USB… Les chiffres avancés ne reflèteraient alors que l’intérêt que l’on peut porter au support, et non plus l’importance des données qu’il contient. Ce n’est guère rassurant.
Le rapport KPMG compte 28 pages. C’est bien plus que les quelques feuillets froidement objectifs de l’ITRC. C’est bien mieux mis en valeur surtout, grâce a quelques graphiques très explicites, grâce également à des commentaires passionnants (quoiqu’orientés) sur les causes et conséquences du « data loss » en entreprise. A lire comme un bon roman d’horreur et de suspense, puisque de telles choses n’arrivent jamais en France.
