Accueil Confidentialité des données AVIS D’EXPERT – Fuites de données : et si le problème n’était...

AVIS D’EXPERT – Fuites de données : et si le problème n’était plus l’intrusion mais sa propagation ?

Damien Gbiorczyk, expert en cyberrésilience chez Illumio. Crédit : Illumio.

Les fuites massives de données qui ont touché l’ANTS, les fédérations sportives, les acteurs du tourisme, le secteur de la santé, etc., marquent une nouvelle étape dans notre rapport à la cybersécurité. Désormais, Damien Gbiorczyk, expert en cyberrésilience chez Illumio, la question n’est plus de savoir si nos données personnelles finiront par être compromises, mais quand. Les cyberattaques ne sont plus de simples incidents informatiques : elles représentent aujourd’hui un risque économique, opérationnel et réputationnel majeur, tant pour les entreprises que pour les citoyens.

Pendant des années, la cybersécurité a été considérée comme un sujet de spécialistes, largement confinée aux départements informatiques et centrée sur la protection du périmètre. Ce modèle ne reflète plus la réalité.

Cette époque est révolue. Chaque individu est devenu une cible potentielle, simplement parce qu’il possède une identité numérique, un compte bancaire, une adresse e-mail ou un smartphone. Dans le même temps, la cybercriminalité s’est transformée en un écosystème industrialisé, où les attaques sont automatisées, massivement déployées et hautement opportunistes.

L’économie de la compromission

Nous entrons dans ce que l’on pourrait qualifier d’« économie de la compromission », où les violations de données ne sont plus des événements exceptionnels, mais font désormais partie de l’environnement opérationnel normal. Les données dérobées lors d’une fuite alimentent ensuite d’immenses bases d’informations utilisées pour mener des campagnes de fraude, de phishing ou d’usurpation d’identité à grande échelle.

Face à cette évolution, nous devons changer radicalement notre approche de la sécurité numérique. L’idée d’une protection absolue appartient désormais au passé. La véritable question devient : comment limiter les conséquences d’une compromission devenue inévitable ? Cette logique du « post-compromission » est au cœur de la cyberrésilience moderne. La priorité doit désormais être de limiter l’impact des compromissions inévitables, empêcher les attaquants de se déplacer latéralement dans le système et les contenir avant qu’ils n’accèdent aux actifs et aux données critiques.

La récente vague d’attaques contre les plateformes touristiques montre à quel point les attaquants choisissent délibérément leurs cibles. Ce secteur concentre d’importants volumes de données personnelles et financières via les plateformes de réservation, les outils de paiement ou les programmes de fidélité. Pourtant, nombre de ces services numériques ont été développés rapidement pour répondre à l’explosion des usages en ligne, sans toujours bénéficier du même niveau de maturité en matière de cybersécurité.

Les cybercriminels ciblent en priorité les secteurs soumis à une forte pression opérationnelle et automatisent leurs attaques. Ainsi, à l’approche des vacances d’été, les entreprises du tourisme connaissent une explosion des réservations, des paiements et des interactions avec les clients. Pour les attaquants, ces périodes constituent des fenêtres d’opportunité idéales.

Les cybercriminels industrialisent leurs attaques

Une cyberattaque réussie agit désormais comme un accélérateur pour l’ensemble de l’écosystème criminel. Lorsqu’une intrusion devient publique, d’autres groupes tentent rapidement de reproduire les mêmes techniques contre des organisations similaires.

Les attaquants réutilisent les identifiants compromis, automatisent leurs campagnes et exploitent des vulnérabilités communes à plusieurs entreprises d’un même secteur. Cette logique industrielle explique pourquoi les cyberattaques se propagent aujourd’hui à grande vitesse.

Les données volées représentent également une valeur économique considérable. Elles peuvent être revendues sur les marchés clandestins du dark web, utilisées dans des opérations de fraude ou servir à des stratégies de double extorsion : les attaquants dérobent des informations sensibles avant de menacer de les publier afin d’obtenir le paiement d’une rançon.

Dans certains cas, les identifiants récupérés sont ensuite réutilisés dans des attaques dites de « credential stuffing », qui consistent à tester automatiquement les mêmes mots de passe sur de multiples plateformes. Les cybercriminels savent que de nombreux utilisateurs utilisent les mêmes accès pour leurs comptes personnels, administratifs ou bancaires.

La donnée est devenue un actif stratégique

Cette évolution transforme profondément la nature du risque cyber. Une cyberattaque ne provoque plus seulement une panne informatique : elle peut interrompre une activité, perturber une chaîne opérationnelle, fragiliser une marque et détériorer durablement la relation de confiance entre une entreprise et ses clients.

La donnée est désormais un actif stratégique. Les informations personnelles, financières ou comportementales constituent une ressource économique majeure. À long terme, une fuite de données pourrait avoir des conséquences bien au-delà du numérique : accès au crédit, tarification des assurances, réputation ou employabilité.

La cybersécurité devient ainsi autant un sujet de gouvernance qu’un sujet technologique.

Dans ce contexte, la souveraineté numérique retrouve également une place centrale. Les réglementations européennes figurent parmi les plus protectrices au monde, mais les citoyens et organisations européens continuent de dépendre fortement de plateformes étrangères dont les modèles économiques reposent largement sur l’exploitation des données.

L’intelligence artificielle fait passer les cyberattaques à l’échelle

L’IA accélère encore davantage cette transformation. Les campagnes de phishing générées par l’intelligence artificielle atteignent désormais un niveau inédit de crédibilité. Les fautes d’orthographe ou formulations approximatives qui permettaient autrefois d’identifier facilement une tentative de fraude disparaissent progressivement.

Les attaquants sont aujourd’hui capables de reproduire avec précision le ton, le langage et le contexte, créant ainsi des arnaques hautement crédibles et personnalisées.

Si la sensibilisation des utilisateurs demeure essentielle, les organisations ne peuvent plus compter uniquement sur la vigilance humaine. La détection devient plus difficile et les délais de réaction se réduisent. Il devient donc encore plus crucial de concevoir des systèmes capables de résister aux attaques et d’en limiter les effets.

De la prévention vers le confinement

Depuis vingt ans, le modèle dominant de protection des données repose sur la défense périmétrique : construire un mur suffisamment solide pour protéger ce qui se trouve à l’intérieur. Ce modèle n’a pas échoué par manque d’investissement ou d’efforts. Il a échoué parce que la notion même de périmètre n’est plus pertinente. Les organisations modernes sont réparties entre environnements cloud, plateformes tierces, collaborateurs à distance et chaînes d’approvisionnement interconnectées. Il n’existe plus de périmètre unique à défendre.

Les organisations qui protégeront le mieux leurs données dans les années à venir ne seront pas celles qui dépenseront le plus en sécurité périmétrique. Ce seront celles qui auront fait un choix architectural clair : considérer la segmentation interne comme une couche fondamentale de protection des données, et non comme une amélioration optionnelle.