Le nombre de violations de données aux États-Unis en 2024 s’est établi à 3 158, affichant une diminution de 1 % par rapport à 2023, où 3 202 violations avaient été comptabilisées. Cela représente une distance de seulement 44 événements d’un record annuel, selon le Center for Identity Theft Resource.
Les avis de violations de données en forte hausse
Le nombre d’avis de violations de données émis au cours de l’année passée a atteint 1 728 519 397, affichant une augmentation de 312 % par rapport à 2023 (419 337 446). Cette hausse est principalement attribuable à six « mégaviolations » ayant entraîné l’émission d’au moins 100 millions d’avis dans chaque cas. Les avis de victimes de ces mégaviolations représentent plus de 1,4 milliard des plus de 1,7 milliard d’avis émis en 2024.
Ces six mégaviolations ne constituent que 0,001 % des violations de l’année écoulée, mais environ 85 % des avis de violations de données.
En excluant ces six événements majeurs, les ~266 millions d’autres avis de victimes émis l’année dernière ont connu une baisse de 36 % par rapport à 2023.
D’après le rapport, environ 70 % des avis de violations liés à des cyberattaques ne contenaient pas d’informations sur l’attaque, contre 58 % en 2023. En 2019 et les années précédentes, près de 100 % des avis incluaient ces informations.
En 2024, le secteur des services financiers, dominé par les banques commerciales et les compagnies d’assurance, était le plus touché par les violations, suivi du secteur de la santé (celui le plus attaqué chaque année de 2018 à 2024), ainsi que des services professionnels, de la fabrication et de la technologie.
« Avec un nombre de violations proche d’un record et plus de 1,7 milliard d’avis de victimes, souvent liés à des pratiques cybernétiques insuffisantes, nous observons également une augmentation des avis fournissant peu d’informations exploitables pour les victimes », a déclaré Eva Velasquez, PDG de l’Identity Theft Resource Center.
« Il est encourageant de constater que 40 % des États ont adopté des lois sur la vie privée pour mieux protéger les consommateurs », a ajouté Velasquez. « Des technologies innovantes telles que les clés d’accès offrent des solutions prometteuses pour prévenir les violations dues à des mots de passe volés, qui ont causé quatre des six mégaviolations. »
De meilleures pratiques cybernétiques auraient pu éviter au moins 196 violations et plus de 1,2 milliard d’avis de victimes. Les attaques utilisant des identifiants volés, comme celles subies par Ticketmaster, Advanced Auto Parts, AT&T et Change Healthcare, auraient pu être contrées par l’ajout de l’authentification multifacteur ou de clés d’accès.
Les lois de divulgation insuffisantes
Les exigences de divulgation au niveau des États et fédéral n’ont pas eu d’impact significatif sur les violations de données. Les nouvelles règles de divulgation des violations de la Securities and Exchange Commission ont entraîné une augmentation de 60 % des déclarations en 2024, mais moins de 10 % de ces avis détaillaient l’événement.
On a observé une diminution des attaques par zero-day et des cyberattaques sur la chaîne d’approvisionnement. Néanmoins, leurs impacts étaient plus marqués. Les attaques sur la chaîne d’approvisionnement ont directement touché 134 organisations et indirectement 657 entités, entraînant 203 millions d’avis de victimes, dont au moins 190 millions liés à la violation de Change Healthcare.
Les entreprises cotées en bourse n’ont représenté que 7 % (221 entreprises) des organisations compromises, mais ont émis 76 % des avis de victimes en 2024.
Parmi les 133 cyberattaques contre des entreprises cotées en bourse ayant entraîné une violation de données, le vol de données d’identification a été le principal vecteur d’attaque. Plus de 74 % des organisations touchées n’ont pas mentionné de vecteur d’attaque dans leurs avis de violation.
Une concentration excessive sur les mégaviolations peut générer des perceptions biaisées des risques chez les consommateurs et contribuer à la « fatigue des violations » et au désespoir. Cela peut également inciter les entreprises, en particulier les petites, à mal orienter leurs ressources limitées en cybersécurité et en protection des données.
Aucun avis de violation de données n’a directement associé l’utilisation de l’IA à une compromission en 2024. Cependant, il est évident que l’IA facilite les attaques par hameçonnage et arnaques identitaires, conduisant à des violations de données. La qualité des tentatives de phishing – e-mails, sites web usurpés, SMS, scripts de vente, etc. – s’est nettement améliorée depuis que l’IA générative s’est installée dans le quotidien en 2022.
Bon à savoir
- Les mégaviolations, bien que rares, génèrent une majorité des avis émis.
- Une part significative des avis de violations n’inclut pas d’informations sur les vecteurs d’attaque, ce qui complique la réaction des victimes.
- Des lois sur la vie privée de plus en plus nombreuses sont mises en place pour renforcer la protection des consommateurs.
Ce rapport met en lumière les défis actuels en matière de cybersécurité et l’importance de l’éducation sur la protection des données. La hausse des violations de données et le recours grandissant à l’IA pour les attaques soulèvent de nombreuses questions. Comment les entreprises peuvent-elles évoluer pour anticiper ces menaces ? Comment les consommateurs peuvent-ils se protéger efficacement dans un paysage numérique en constante évolution ? L’actualité nous rappelle que chaque acteur a un rôle à jouer dans la protection de l’information.
La cybersécurité est un véritable défi aujourd’hui. Il est essentiel de s’informer et d’adopter des pratiques responsables pour se protéger dans cet univers numérique en constante évolution.
Julien, cet article met vraiment en lumière une réalité préoccupante. Les entreprises doivent absolument améliorer leurs pratiques de cybersécurité pour protéger les consommateurs !
Wow, ces statistiques sur les violations de données sont vraiment alarmantes ! On dirait qu’il est temps d’investir sérieusement dans la cybersécurité, surtout pour nos informations personnelles.
Ces statistiques sont vraiment frappantes. Les entreprises doivent absolument revoir leurs pratiques de cybersécurité pour mieux protéger leurs clients, non ? Quelles solutions innovantes pourraient être mises en place ?
Il est essentiel que les entreprises renforcent leurs mesures de cybersécurité. La formation continue et l’authentification multifacteur peuvent vraiment faire la différence.