2024 a été une année marquée par des événements tragiques, avec des violations de données d’une ampleur jamais atteinte. Ces violations ont eu des répercussions sur des entreprises de toutes tailles et dans tous les secteurs, coûtant des milliards de dollars aux États-Unis. Parmi les plus importantes cyberattaques de 2024 figurent des attaques par ransomware de grande envergure touchant Change Healthcare et le développeur de logiciels CDK Global, l’exploitation d’une vulnérabilité critique dans les VPN d’Ivanti affectant des milliers d’utilisateurs, ainsi que le piratage de centaines de routeurs par des hackers soutenus par les gouvernements russe et chinois. La theft massive de données à partir de comptes clients de Snowflake via des identifiants volés a également été notée. Selon le rapport de 2024 sur le coût des violations de données publié par IBM, le coût moyen d’une violation aux États-Unis s’élevait à 9,36 millions de dollars, avec les principales causes identifiées étant le phishing et l’utilisation de données d’identification volées ou compromises.

Cette année a également été marquée par un renforcement des réglementations en matière de cybersécurité, y compris de nouvelles exigences en matière de notification des violations de données instaurées par la Federal Trade Commission (FTC) des États-Unis. Les agences fédérales, notamment le Département de la Justice (DOJ), la Securities and Exchange Commission (SEC) et la FTC, mettent en œuvre de manière proactive ces régulations. Ces actions ont montré que non seulement les entreprises, mais aussi leurs dirigeants pourraient être tenus responsables de la mauvaise gestion des cyberattaques, de l’absence de contrôles internes adéquats, ou de violations des droits de la vie privée des consommateurs. Les agences fédérales ont également commencé à mener des actions en justice liées à l’intelligence artificielle (IA), en intégrant des préoccupations autour des divulgations trompeuses des capacités des outils d’IA et de leur usage abusif.

Dix-neuf États ont désormais mis en place des lois complètes sur la protection des données, la plupart s’inspirant du Règlement général sur la protection des données (RGPD) de l’Union européenne. Les États continuent à réviser et à rendre leurs lois sur les violations de données plus strictes et complexes, ce qui a conduit à un patchwork de lois sur la protection des données au niveau des États, en raison de l’absence d’une législation fédérale.

De la même manière, en l’absence de législation fédérale sur l’intelligence artificielle, les États commencent également à combler ce vide de manière fragmentée. Le 17 mai 2024, le Colorado est devenu le premier État à adopter une législation complète sur l’IA, qui entrera en vigueur en 2026. Cette loi est révolutionnaire et suit la même approche de classification des risques que l’Acte sur l’IA de l’UE, et impose des obligations de diligence aux développeurs et déployeurs de systèmes d’IA à haut risque afin de prévenir la discrimination algorithmique. La Californie, l’Illinois, le Maryland et la ville de New York ont également promulgué des lois sur l’IA. De manière significative, la loi sur la prise de décision par les médecins en Californie, qui entrera en vigueur le 1er janvier 2025, garantit que les décisions concernant les traitements médicaux sont prises par des professionnels de la santé, et non pas uniquement par des algorithmes d’IA.

Voici les cinq principales évolutions en matière de cybersécurité, d’IA et de vie privée en 2024 :

  1. Les ransomwares perturbent massivement les systèmes de santé américains.

Près de 170 millions de personnes aux États-Unis ont vu leurs données de santé compromises en 2024, selon les rapports d’incidents de sécurité transmis au Département de la santé et des services sociaux des États-Unis (HHS). L’année 2024 a été marquée par la plus grande violation de données liées à la santé jamais signalée, touchant les informations de santé et personnelles d’environ 100 millions d’individus. L’attaque par ransomware de février 2024 sur Change Healthcare, détenue par UnitedHealth Group, a paralysé le système de santé américain, entraînant d’importantes perturbations à l’échelle nationale. Change Healthcare n’a pas pu traiter les demandes d’assurance et les prescriptions pendant plusieurs mois. Les hackers ont également volé des données patients et auraient proposé ces informations à la vente sur le dark web, et ce malgré le paiement de 22 millions de dollars demandé par le groupe BlackCat, connu également sous le nom d’ALPHV.

Les hackers ont également ciblé fréquemment les hôpitaux en 2024, représentant des menaces significatives pour la sécurité publique lorsque ces établissements ont été contraints de fermer, de retarder des interventions, de rediriger des patients et d’augmenter les temps d’attente dans les services d’urgence. En mai 2024, une attaque par ransomware a perturbé les opérations de l’Ascension Health Alliance, qui gère environ 140 hôpitaux dans 19 États et à Washington, D.C. Les hôpitaux sont fréquemment ciblés en raison de leur vaste surface d’attaque et de leur dépendance à des systèmes anciens, difficiles à sécuriser, ce qui les rend plus accessibles aux hackers. D’autant plus alarmant est le fait que les hackers choisissent ces systèmes de santé en raison de leur propension à payer une rançon, car cela met des vies en danger.

Face à la fréquence croissante et à la sophistication des cyberattaques visant le secteur de la santé, les régulateurs et les législateurs américains ont proposé de nouvelles règles de cybersécurité pour atténuer ce problème. Le 27 décembre 2024, le HHS a proposé une mise à jour complète de la règle de sécurité HIPAA, comprenant des centaines de pages de nouvelles réglementations afin de mieux protéger le système de santé américain. Parmi ces nouvelles exigences figurent l’obligation de chiffrer les données de santé électroniques, l’utilisation d’une authentification multi-facteurs et des audits de conformité réguliers.

  1. L’escalade de la fraude alimentée par l’IA a intensifié la propagation de la cybercriminalité.

Les outils d’IA ont permis d’accélérer les cyberattaques, rendant les menaces capables d’analyser, d’identifier et d’exploiter plus rapidement les vulnérabilités des réseaux cibles. Ces outils ont également servi à créer des emails de phishing plus convaincants, à concevoir des clones vocaux pour orchestrer des escroqueries et à développer des codes malveillants moins détectables. Les cybercriminels ont employé ces outils pour automatiser des campagnes de ransomware et de phishing à grande échelle. En outre, les États ont commencé à utiliser des modèles de langage importants pour leurs cyberattaques. En somme, l’IA a radicalement modifié le paysage des menaces, permettant aux criminels de commettre des fraudes de manière exponentielle.

Le plus grand impact de l’IA à ce jour a été dans le domaine des attaques de phishing. Selon le rapport 2024 sur l’intelligence en matière de phishing de SlashNext, la seconde moitié de 2024 a enregistré une augmentation de 202 % des messages de phishing et de 703 % des attaques liées au phishing d’identifiants.

  1. Le DOJ a poursuivi George Tech pour non-conformité à la cybersécurité, provoquant des vagues dans la communauté des entrepreneurs de défense.

Le 22 août 2024, dans une initiative sans précédent, le DOJ a déposé sa première plainte civile dans le cadre de son initiative de lutte contre la fraude civile en cybersécurité – une plainte de 99 pages contre l’Institut de technologie de Géorgie (Georgia Tech) et sa filiale de recherche pour non-respect des exigences en matière de cybersécurité liées aux contrats avec le Département de la Défense des États-Unis. La plainte faisant état que Georgia Tech n’avait pas établi de plan de sécurité informatique adéquat, n’avait pas utilisé de logiciels antivirus et avait présenté de fausses évaluations de cybersécurité à l’armée américaine. Cette action vise à rappeler aux entrepreneurs gouvernementaux que la cybersécurité est cruciale pour la défense nationale des États-Unis et que la non-conformité ne sera plus tolérée.

  1. Les tensions entre les États-Unis et la Chine concernant la cyberespionnage et le contrôle des données américaines se sont intensifiées.

En 2024, des agences gouvernementales américaines ont révélé des détails préoccupants concernant plusieurs cybercampagnes parrainées par l’État chinois, impliquant des groupes de menaces avancées tels que Volt Typhoon et Salt Typhoon. Volt Typhoon a compromis plusieurs réseaux informatiques aux États-Unis, se préparant à causer des dommages aux infrastructures critiques en cas de conflit. Les conséquences de l’infiltration de Salt Typhoon dans plusieurs fournisseurs de services Internet américains ont été jugées “potentiellement catastrophiques”. En réponse à ces menaces, la Commission fédérale des communications a proposé des règles de cybersécurité plus strictes pour les opérateurs télécoms.

Le 30 décembre 2024, des responsables du Trésor américain ont annoncé une “violation de données majeure” orchestrée par des hackers soutenus par l’État chinois qui ont compromis un “clé” utilisée par un fournisseur de services de logiciels tiers. À l’heure actuelle, le Département du Trésor ne connaît pas l’ampleur complète de cet incident.

À la suite des préoccupations sur les cyberattaques croissantes de la Chine, le DOJ a établi un nouveau programme de sécurité nationale visant à empêcher six “pays préoccupants” d’accéder à des données personnelles sensibles.

  1. Les recours collectifs liés aux violations de données et à la vie privée ont considérablement augmenté en 2024.

Des milliers d’actions collectives liées aux violations de la sécurité des données ont été déposées en 2024. Ces poursuites correspondent souvent à des actions d’application par les régulateurs fédéraux et étatiques. En octobre 2024, la SEC a annoncé des règlements de près de 7 millions de dollars avec quatre entreprises publiques pour avoir publié des divulgations trompeuses après avoir été victimes d’une cyberattaque sur la chaîne d’approvisionnement.

Prévisions et recommandations

Prévisions et recommandations pour 2025

  • La vigilance sur l’utilisation des outils d’IA pour la prise de décisions automatisées doit se renforcer. Les organisations doivent effectuer une évaluation complète des risques de tout outil d’IA avant son implémentation et établir un processus de gestion des risques.
  • Il est probable que votre réseau soit compromis, quel que soit son niveau de cybersécurité. En cas de violation, il est impératif de disposer d’un plan de réponse bien conçu pour guider votre organisation.
  • Le président élu pourrait réduire le nombre de nouvelles exigences fédérales en matière de cybersécurité, mais cela n’affectera pas les efforts d’application des régulateurs étatiques. Négliger l’investissement dans la cybersécurité pourrait entraîner des responsabilités civiles et criminelles importantes.
  • La révision de l’Ordonnance exécutive 14110 sur l’IA pourrait survenir, mais cela ne changera probablement pas la politique du DOJ sur la recherche de peines plus sévères dans les affaires liées à l’IA.
  • Enfin, il est essentiel d’avoir une compréhension complète des données collectées, en tenant compte de leur nature sensible, de leur stockage, de leur utilisation, et des partages avec des tiers.

Bon à savoir

  • Les violations de données en 2024 ont touché près de 170 millions de personnes, mettant en lumière les vulnérabilités du secteur de santé.
  • La prise de décision médicale assistée par l’IA remet en question l’autonomie des professionnels de la santé, soulevant des questions éthiques.
  • Les poursuites en matière de cybersécurité illustrent un mouvement vers une responsabilité accrue des entreprises en matière de protection des données.

La question qui se pose maintenant est celle de l’équilibre entre l’innovation technologique, comme l’IA, et la nécessaire protection des données et de la vie privée des citoyens. Alors que les systèmes de santé et d’autres secteurs clés sont de plus en plus exposés, il devient urgent de trouver des solutions qui permettent un développement technologique responsable. Quelles devraient être les prochaines étapes pour garantir que les avancées technologiques ne compromettent pas la sécurité et la vie privée des utilisateurs?



  • Source image(s) : www.jdsupra.com
  • Source : https://www.jdsupra.com/legalnews/the-2024-year-in-review-cybersecurity-8353611/


Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *