Le SafeNet Breach Level Index (BLI) centralise les failles de données au sein d’une base de données mondiale et calcule leur gravité selon de multiples critères, en fonction des informations publiées pour les différentes failles. Véritable référentiel industriel, cet indice permet également aux DSI et CSO (Chief Security Officer) de connaître rapidement la gravité d’une faille touchant leur propre entreprise lorsqu’ils doivent signaler un danger potentiel à leurs clients ou partenaires. Les données obtenues peuvent également être utilisées dans leurs propres activités de planification et d’évaluation des risques.

« Les failles ne sont pas toutes créées égales et à ce titre, elles ne doivent pas être traitées de la même manière. L’indice BLI nous permet de suivre et différencier les failles de sécurité « non sécurisées » où les données sont compromises et perdues, et les failles de sécurité « sécurisées » où les données volées ne peuvent être déchiffrées par les cybercriminels dans la mesure où le cryptage les rend inexploitables », a déclaré Prakash Panjwani, senior vice-president et directeur général, Data Protection, SafeNet. « En fonction de différents facteurs, l’indice BLI attribuera une note comprise entre 1 et 10 indiquant la gravité d’une faille. Ce chiffre sera d’autant plus bas que l’entreprise s’est dotée d’un environnement sécurisé qui préserve l’intégrité de ses données confidentielles. »

Failles de sécurité - Faits marquants pour l’année 2013

L’indice BLI fournit des informations détaillées qui portent sur des centaines de failles, classées par type et par secteur industriel. En 2013, pour plus de 1 000 failles de données et plus de 575 millions d’enregistrements de données perdus ou volés, 44 % des failles de données n’ont pas révélé le nombre d’enregistrements de données exposées.

Les faits importants de l’année sont :

Par type de faille :
Tiers malveillants : 57 % des failles de données
Perte accidentelle : 27 % des failles de données
Initiés malveillants : 13 % des failles de données
Hacktivistes : 2 % des failles de données
Piratage d’état : moins de 1 % des failles de données
 
Par secteur industriel
Santé
31 % des failles de données et 2 % des enregistrements de données perdus ou volés
Nombre moyen d’enregistrements perdus par faille : 49 000
Administration
17 % des failles de données et 10 % des enregistrements perdus ou volés
Nombre moyen d’enregistrements perdus par faille : 630 000
Secteur financier
15 % des failles de données et 1 % des enregistrements de données perdues ou volées
Nombre moyen d’enregistrements perdus par faille : 112 000
Grande distribution
8 % des failles de données et 29 % des enregistrements perdus ou volés
Nombre moyen d’enregistrements perdus par faille : 6,6 millions
Technologie
11 % des infractions et 43 % des enregistrements de données perdues ou volées
Nombre moyen d’enregistrements perdus par faille : 5,7 millions
Autres secteurs industriels
23 % des infractions et 13 % des enregistrements de données perdues ou volées
Nombre moyen d’enregistrements perdus par faille : 619 000

Répartition temporelle :
- 1 576 555 million d’enregistrements de données perdus ou volés chaque jour
- 65 690 enregistrements de données perdus ou volés chaque heure
- 1 094 enregistrements perdus ou volés chaque minute
- 18 enregistrements de données perdus ou volés chaque seconde
 
Dans un premier temps, SafeNet a collaboré avec le cabinet d’analystes IT-Harvest pour élaborer la formule algorithmique permettant de déterminer la gravité des failles enregistrées en 2013. Lors du calcul de ce degré de gravité, l’indice BLI prend en compte de multiples variables, parmi lesquelles le type de données, le nombre de dossiers volés, la source de la faille, et si la sécurité des données de forte valeur a été préservée une fois la faille découverte. Ces critères sont ensuite traités par un algorithme propriétaire qui produit une note comprise entre 1 et 10, 1 étant la moins grave.

Une nouvelle approche de la protection des données : sécuriser les failles de sécurité

L’augmentation sans précédent du nombre de failles de sécurité enregistrée récemment montre que les stratégies de prévention classiques sont insuffisamment performantes pour protéger les données. Par ailleurs, l’augmentation des investissements consacrés à la sécurité périmétrique ne permet pas de sécuriser de manière appropriée des données de plus en plus nombreuses, en évolution constante et en permanence consultées, déplacées, partagées et stockées dans les environnements virtuels, en mode cloud et sur des terminaux mobiles. La notion de périmètre a disparu, ce qui crée de nouveaux points de vulnérabilité particulièrement étendus. Lorsqu’une faille se produit, les entreprises doivent être prêtes à la sécuriser et pour ce faire, intégrer directement la sécurité dans les données.

Dans ce domaine, les solutions de protection de données de SafeNet aident les entreprises à évoluer vers une attitude visant à sécuriser les failles de sécurité, ce qui implique que les entreprises acceptent que des failles apparaîtront tôt ou tard, et que leurs données doivent bénéficier d’une protection intégrée avec authentification forte, chiffrement et gestion du chiffrement.

Les solutions développées par SafeNet pour aider les entreprises à adopter cette approche incluent :
 
SafeNet Encryption - assure une couverture hors pair en sécurisant les bases de données, les applications, les informations personnellement identifiables (PII) et le stockage dans les datacenters physiques, virtuels et en mode cloud. Cette solution assure également la gestion des clés critiques nécessaires à la protection efficace des données, quel que soit l’endroit elles résident.

SafeNet Crypto Management - assure la gestion centralisée, efficace et sécurisée des clés de chiffrement et des règles tout au long du cycle de vie des clés et d’un bout à l’autre de l’entreprise, à la fois en mode cloud et sur site.

SafeNet Authentication – offre une solution de déploiement des services flexible, pour une  simplification de la mise en œuvre et la gestion des authentifications grâce à des processus automatisés, ce qui réduit considérablement les délais et les coûts de provisionnement, d’administration et de gestion des utilisateurs et des tokens par rapport aux modèles d’authentification traditionnels.

SafeNet interviendra également lors de la Conférence RSA 2014 à San Francisco (stand nº2729, Hall Nord). David Etue, vice-président, Corporate Development Strategy interviendra à deux reprises :

Lors d’une session intitulée Not Go Quietly: Surprising Strategies and Teammates to Adapt and Overcome (27 février à 08h00 (heure du Pacifique), salle 2020). David Etue et Josh Corman, directeur technique de Sonatype, présenteront les nouvelles approches permettant de trouver un soutien financier et opérationnel pour assurer la sécurité des informations dans les entreprises.
Le 26 février à 13h40 (Expo Briefing Center) lors de la session intitulée Whose Cloud Is It Anyway? Exploring Data Security, Ownership and Control.

 

Note : les informations figurant dans l’indice BLI sont issues de sources publiques. SafeNet fournit ces informations « tel quel », ne représente ni ne garantit les données, et n’est pas responsable de leur utilisation.