Études

Violations du gouvernement – ​​pouvez-vous faire confiance au gouvernement américain avec vos données ?

Violations du gouvernement – ​​pouvez-vous faire confiance au gouvernement américain avec vos données_



En 2020, le gouvernement américain a subi 87 violations de données qui ont touché plus de 3,3 millions de personnes. Sur la base d'un coût moyen de 146 dollars par enregistrement concerné, nous estimons que ces violations ont coûté aux entités gouvernementales près de 487 millions de dollars l'année dernière seulement.

Malgré une diminution de 25 % d’une année sur l’autre du nombre de violations ciblant des entités gouvernementales (contre 116 en 2019), le nombre de dossiers concernés a bondi de plus de 110 % (contre 1,6 million en 2019). Cela suggère que même si moins de violations se sont produites, lorsqu’elles se sont produites, elles ont été bien plus perturbatrices et coûteuses.



Cette tendance semble s’être poursuivie également en 2021. En 2019, le nombre moyen d'enregistrements violés par entité était de 13 682, passant à 38 337 en 2020 et à 39 392 en 2021. En outre, l'ampleur réelle des violations ne se faisant souvent pas sentir avant des mois (voire des années), le nombre moyen d'enregistrements affectés par entité était de 13 682. le dépassement pour cette année pourrait encore augmenter.

Alors, quel est le coût de ces violations de données pour le gouvernement, comment les violations gouvernementales se sont-elles développées au fil du temps et quelles tendances avons-nous observées ces dernières années ?



Notre équipe de chercheurs a rassemblé des données sur les violations de données gouvernementales remontant à 2014. Nous avons effectué des recherches dans les rapports d'État, les rapports gouvernementaux, les actualités, les communiqués de presse et les rapports de l'industrie pour créer une liste complète des violations qui ont affecté les agences gouvernementales à travers le monde. les États Unis. Cependant, comme bon nombre de ces violations et leurs détails ne sont souvent pas signalés, nous pensons que ces chiffres ne représentent qu’une fraction du problème.

Principales conclusions

En 2020 :

  • 87 entités gouvernementales ont subi des violations de données en 2020, soit une diminution de 25 % par rapport à 2019 (116)
  • 3 335 349 enregistrements ont été affectés en raison de ces violations, soit une augmentation de 110 % par rapport à 2019 (1,59 million)
  • Le coût de ces dossiers concernés était de 486 960 954 $ en 2020, soit plus du double de celui de 2019 (238 millions de dollars).
  • La Floride a enregistré le plus grand nombre de violations, avec 7 au total, qui ont touché 484 321 personnes.
  • Washington a eu le plus grand nombre de dossiers touchés (1 609 101) et a donc subi la perte la plus importante, soit 234 928 746 $.
  • Le Wyoming avait le pourcentage le plus élevé de sa population (28 %) touché par des violations du gouvernement en 2020.

Quel État a connu le plus de violations de données gouvernementales en 2020 ?

Avec 7 violations distinctes, la Floride a enregistré le plus grand nombre de violations de données gouvernementales en 2020. Elle a été suivie de près par la Californie, l'Indiana, le Kentucky et le Massachusetts, où 5 incidents chacun ont été enregistrés. La Floride est également le deuxième État le plus touché en ce qui concerne les dossiers touchés, avec plus de 484 000 personnes touchées lors des 7 violations.

Washington a enregistré le plus grand nombre de dossiers touchés, avec 1 609 101 au total. La grande majorité d’entre eux (1,6 million) étaient impliqués dans l’intrusion au sein du State Auditor de Washington. Il a été compromis lorsque des acteurs malveillants ont exploité une vulnérabilité dans un service de transfert de fichiers sécurisé d'un fournisseur tiers, Accellion, qui a exposé les informations de 1,6 million de demandes de chômage.

L'Illinois a également eu un nombre élevé de dossiers touchés, avec 355 763 pour trois violations. Seuls trois autres États ont affecté plus de 100 000 enregistrements. Il s’agit du Wyoming (164 021), du Missouri (113 579) et de l’Alaska (113 000) et tous ont été touchés par une seule violation de données au sein de l’État.

Près de 30 % des habitants du Wyoming ont été touchés par des violations de données gouvernementales en 2020

Si l’on considère le nombre de dossiers concernés par rapport à la population de chaque État, le pourcentage le plus élevé de la population d’un État touché par des violations de données gouvernementales est celui du Wyoming. Avec 164 021 personnes touchées par la violation du ministère de la Santé du Wyoming, cela suggère que plus de 28 % des résidents ont été touchés par cette publication accidentelle des résultats des tests COVID-19. Un membre du personnel a traité les informations de santé de manière inappropriée et les a téléchargées sur un emplacement de stockage en ligne privé et public.

Le Wyoming était suivi de près par Washington, où 21 pour cent de la population était touchée par des violations du gouvernement, suivi par l'Alaska avec 15 pour cent. Dans tous les autres États, moins de quelques pour cent des résidents ont été touchés par des violations commises par des entités gouvernementales en 2020.

Combien ces violations de données ont-elles coûté aux entités gouvernementales en 2020 ?

Selon IBM, le coût moyen par enregistrement impliqué dans une violation était de 146 $ en 2020, soit une légère baisse par rapport au coût de 150 $ de 2019. Cependant, sur la base de chaque violation de record coûtant 146 dollars aux entités gouvernementales, cela équivaut à une perte de près de 487 millions de dollars pour la seule année 2020.

Même si ce chiffre semble extraordinairement élevé pour seulement 87 violations de données, les coûts réels sont probablement bien plus élevés. Cela n’est pas seulement dû à tous les autres coûts impliqués dans une violation de données (par exemple les coûts de remédiation), mais aussi au fait que certains chiffres ne sont pas disponibles sur le nombre d’enregistrements impliqués dans ces violations. De même, comme le révèle l'étude d'IBM, les violations impliquant des informations personnelles identifiables (PII) entraînent des coûts plus élevés, soit 150 dollars par enregistrement, pouvant atteindre 175 dollars lorsque la violation est provoquée par une attaque malveillante.

Quels types d’entités gouvernementales ont été les plus touchés en 2020 ?

Près d’un quart des violations gouvernementales que nous avons constatées en 2020 concernaient des villes. Au total, 19 villes ont été attaquées, touchant 176 994 personnes. La pire violation s'est produite dans la ville d'Independence, dans le Missouri, qui a été touchée par une attaque de ransomware qui a affecté les systèmes de la ville et compromis 113 579 enregistrements.

Parmi les autres violations à grande échelle figurent :

  • La ville de Sunrise, en Floride– 21 924 Floridiens ont été touchés en avril 2020 en raison d’un piratage du fournisseur tiers de paiement de factures de services publics, Click2Gov. Les pirates ont tenté d'extraire les détails de la carte des utilisateurs, ce qui a touché près de 22 000 résidents.
  • La ville de Fort Lauderdale– 9 271 rapports ont été touchés lorsque des pirates ont mis en vente le système de paie de la ville « sans papier » sur le dark web.

Les comtés ont subi un cinquième des violations de 2020, avec 17 au total et 339 699 personnes touchées. Ils ont été suivis de près par les forces de l'ordre (17 %), 15 services de police, bureaux de shérif, prisons et autres entités ayant subi des violations en 2020. Certaines des violations les plus importantes au sein des forces de l'ordre comprenaient :

  • Service de police de l'arrondissement de Haledon, New Jersey– 50 696 enregistrements ont été violés après la violation d’un système externe.
  • Fuites bleues– Cette violation a touché plus de 200 services de police, centres de fusion et autres organismes chargés de l’application de la loi dans différents États américains. Un groupe nommé DDoSecrets a publié 269 Go de données volées à ces forces de l'ordre, y compris des documents sensibles au cours des dix dernières années.

Bien que plus de 200 agences aient été piratées lors de l’attaque BlueLeaks, nombre d’entre elles sont restées anonymes auprès du public. La plus grande violation de BlueLeaks constatée a eu lieu au Northern California Regional Intelligence Center, où 29 114 enregistrements ont été violés et 19 Go de données ont été publiées. Parmi les autres cas figuraient le Bureau of Criminal Apprehension du Minnesota, avec 20 000 dossiers concernés, et le bureau du shérif du comté de Hennepin, avec 1 500 dossiers concernés.

Principales conclusions de janvier 2014 à juillet 2021 :

Selon nos constatations :

  • 661 entités gouvernementales ont été piratées et 175 332 906 enregistrements touchés
  • L’année 2019 a connu le plus grand nombre de violations avec 116, tandis que 2020 a enregistré le plus grand nombre de personnes touchées avec 3 335 349.
  • Le coût total de ces violations de données gouvernementales est estimé à plus de 26,1 milliards de dollars.
  • La Californie a subi le plus grand nombre de violations, avec 78 affectant près de 24,5 millions de dossiers. C’est presque le double du nombre de violations subies en Floride – 39
  • Les résidents de l'Indiana ont été les plus durement touchés par les violations gouvernementales au fil des ans, avec 14,8 millions de dossiers touchés lors de 11 violations. Avec seulement 6,7 millions d'habitants dans l'État, cela suggère que chaque Hoosier a vu ses données impactées par une entité gouvernementale plus de deux fois.

Comment 2020 se compare-t-elle aux années précédentes ?

Comme le montre le graphique ci-dessous, les violations de données gouvernementales ont atteint un niveau record vers la fin de 2019, avec 18 enregistrées rien qu’en septembre. Depuis lors, les violations gouvernementales sont restées à un niveau similaire, avec plusieurs hauts et bas. Les pics les plus notables sont ceux qui surviennent chaque année en mai. Le pic de mai 2021 a été particulièrement élevé, surtout si l’on considère que de nombreuses violations sont signalées des mois après leur survenue.

Violations de données gouvernementales par mois et par année

En ce qui concerne les enregistrements touchés, le pic le plus important a été de loin enregistré en décembre 2020. Avec plus de 1,7 million d’enregistrements concernés, les enregistrements violés en décembre représentaient 52 % du total de l’année. La majorité de ces dossiers violés provenaient de l'attaque contre Accellion qui a touché le Bureau de l'Auditeur de l'État de Washington, où 1,6 million de demandes de chômage ont été violées.

Comment 2021 s’annonce-t-elle en matière de violations de données gouvernementales ?

Au-delà de la baisse actuelle constatée en juin, 2021 devrait suivre une tendance similaire à celle des années précédentes. Même si les violations sont inférieures à celles des années précédentes (en l’état actuel), il est probable que les chiffres que nous avons enregistrés au cours des derniers mois augmenteront à mesure que davantage de violations seront rendues publiques.

Le chiffre élevé de dossiers touchés en juillet (750 000 touchés lors d’un piratage du ministère de la Santé de l’État de l’Indiana) suggère également que 2021 pourrait être une année élevée en termes de dossiers touchés et de coûts impliqués dans ces violations. Le récent rapport mis à jour d'IBM sur le coût des violations de données suggère que les chiffres impliqués dans chaque rapport sur les violations atteignent un niveau record de 161 $. D’après les rapports que nous avons trouvés jusqu’à présent, cela équivaut à un coût de plus de 209 millions de dollars.

Méthodologie

À l’aide de rapports d’État, de rapports gouvernementaux, d’actualités, de communiqués de presse et de rapports de l’industrie, nous avons rassemblé tous les enregistrements de violations de données survenues au sein des départements gouvernementaux/militaires. Dans la mesure du possible, les chiffres des violations ont été attribués à l'État dans lequel les documents ont été concernés. Cependant, dans certains cas, les chiffres seront attribués à l'État où se trouve le siège de l'entreprise concernée. Cela est dû au fait que plusieurs États sont souvent touchés et qu’une ventilation des chiffres par État n’est pas disponible. De même, si la violation de données s’est produite à l’échelle des États-Unis, elle relèvera de la catégorie « États-Unis », car elle ne peut pas être attribuée à un État.

En outre, il peut y avoir des cas où la violation s’est produite au cours d’une année précédente mais n’a été portée à l’attention des autorités que plus tard. Et chaque violation n’est pas accompagnée d’un chiffre indiquant le nombre de signalements concernés (ce nombre peut être inconnu ou inférieur au seuil imposé par l’État). BlueLeaks a également été enregistré comme une violation, en raison du large éventail d’entités affectées et du nombre d’entre elles qui n’ont pas été rendues publiques.

Les chiffres des années précédentes, 2019 et antérieures, peuvent avoir changé depuis notre dernière étude en raison de rapports mis à jour avec la date exacte de la violation.

Chercheur de données :Charlotte Bond

Vous pouvez demander une liste détaillée des violations de données du gouvernement américain que nous avons analysées ici : https://docs.google.com/spreadsheets/d/1Oh9Z1F3NHTCZJfFQjj9JIq-EwwgDpqtTPBf4prYfIz4/edit?usp=sharing

^