Les premiers mois de 2020 ont encore une fois été chargés en cyberattaques, et l’année n’est pas encore terminée !
La sécurité du système d’information est un sujet qui est (et restera) un enjeu majeur pour les entreprises. On entend chaque année parler de cyberattaques contre certaines grandes entreprises mondiales, mais ce fléau touche aussi les plus petites structures.
D’après une récente étude sur les cyber-risques, menée par la compagnie d’assurance Hiscox, le nombre de hacks est en baisse sur l’année 2020. Ce qui pourrait sembler être une bonne nouvelle cache en fait une autre réalité : les attaques sont effectivement en baisse, mais leurs conséquences sont plus importantes que jamais. On parle même de pertes financières 6 fois plus élevées que sur l’année 2019 !
Retour sur les grandes cyberattaques qui ont marqué cette année 2020 et sur quelques pistes pour vous prémunir de ce risque.
Février 2020 - Le hack du groupe Marriott
Coup dur pour le groupe d’hôtels Marriott. Après une première attaque en 2018, qui pourraient avoir touché jusqu’à 500 millions de clients, la cyberattaque de février 2020 toucherait quant à elle plus de 5 millions de clients supplémentaires. L’origine de la faille proviendrait du vol des identifiants et mots de passes de deux employés.
Noms, dates de naissance, coordonnées postales, numéros de téléphone et numéros de cartes bancaires auraient ainsi été dérobés. Le risque majeur lié à ces informations est la mise en place de campagnes de phishing avec usurpation de l’identité des clients concernés.
Le groupe Marriott a bien entendu annoncé avoir contacté personnellement tous les clients concernés. Ceux-ci se seraient également vu offrir, à titre d’excuse, « un an de protection et de surveillance gratuite » de leurs données personnelles.
Conséquences pour l’entreprise ? Une très mauvaise image avec pas moins de deux cyberattaques massives en deux ans, la perte de confiance de leurs clients, mais aussi des amendes conséquentes, notamment en Europe, pour non respect du RGPD !
Avril 2020 - La fuite de données de Leetchi
Avril 2020. Le site français de cagnottes en ligne Leetchi est victime d’une cyberattaque. Lors de l’ajout d’une nouvelle fonctionnalité à la plateforme, une erreur technique a entraîné une faille concernant la confidentialité des données personnelles des créateurs de cagnottes.
Résultat : il était ainsi possible de récupérer noms, prénoms, adresses emails, dates de naissance et coordonnées GPS des créateurs de cagnottes. Même si les coordonnées bancaires et informations des cagnottes des clients n’ont quant à elles pas fuité, les informations récupérées peuvent elles aussi être utilisées pour des campagnes de hameçonnage par exemple.
Leetchi, qui a contacté les utilisateurs concernés par cette fuite de données, assure avoir rapidement repéré et réparé cette faille de sécurité.
À ce jour, aucune dépense frauduleuse ou arnaque n’a été détectée. La confiance des clients de la plateforme a néanmoins été mise à mal, notamment car la collecte de leurs coordonnées GPS n’était absolument pas renseignée dans la politique de confidentialité de Leetchi.
Mai 2020 - La cyberattaque contre Easyjet
En mai 2020, alors que sa flotte est encore clouée au sol suite à la crise sanitaire, Easyjet annonce avoir été victime d’une cyberattaque. Le communiqué de presse publié par la société confirme que les hackers ont eu accès aux informations personnelles de 9 millions de clients à travers le monde.
Adresses emails, itinéraires de voyages… mais aussi numéros de cartes bancaires de plus de 2200 clients ! Au moment de cette annonce, la compagnie affirmait avoir déjà prévenu les personnes concernées par ce vol de données bancaires et leur avoir proposé un accompagnement spécifique. Elle s’engageait également à contacter les 9 millions de clients restants dans la semaine suivante.
Easyjet a assuré que l’accès aux données personnelles de ses clients n’était depuis plus possible, mais a tout de même mis en garde sur l’utilisation des données dérobées, qui pourraient notamment servir à des arnaques en ligne, en forte augmentation durant la crise sanitaire.
Les conséquences pour l’entreprise sont nombreuses, mais deux d’entre-elles ressortent particulièrement après cette cyberattaque : la perte de confiance de plusieurs millions de clients, mais aussi une plainte collective (montée par 10 000 clients !) qui pourrait coûter plusieurs millions de livres à la compagnie britannique.
Mais alors, comment se protéger de ces situations?
Vous l’avez vu au travers de ces exemples, les conséquences d’une cyberattaque ou d’une fuite de données peuvent vite devenir dramatiques. Au travers de la perte de confiance des clients et des pertes financières, c’est souvent tout le business de l’entreprise qui est mis en danger. Ces attaques peuvent également avoir des répercussions sur nos vies personnelles, comme l’a montré le hack du géant hospitalier UHS aux Etats-Unis.
La sécurité informatique n’est donc pas une chose à prendre à la légère ! Les causes et sources de potentielles failles sont nombreuses, et il est important de toutes les détecter et corriger afin de parer toute attaque. Dans ce cadre, sachez qu’il est possible de réaliser des audits de sécurité complets de son système d’information, afin de repérer tout problème potentiel, et d’obtenir des pistes de résolution.