Cybersécurité : les États-Unis essuient un tsunami d’attaques, 2023 est déjà leur pire année

L’année 2023 n’est même pas encore terminée qu’elle est déjà annoncée comme l’année de tous les records, et pas uniquement en termes de climat. Le site Fast Company a publié un bilan alarmant des cyberattaques pour cette année aux États-Unis, en se basant sur les chiffres de l’Identity Theft Resource Center (ITRC).

Fin septembre, les entreprises comptaient déjà 2 116 violations de données, battant le précédent record de 1 862 fuites établi en 2021. Ce chiffre ne tient même pas compte du vol des données d’un million de personnes chez 23andMe, une entreprise d’analyse du code génétique, dont l’auteur semble avoir visé spécifiquement les personnes d’origine juive, selon le Washington Post.

Un manque de transparence aux États-Unis

Au troisième trimestre, le secteur financier était le plus visé, avec 204 des 733 attaques signalées et affectant plus de 66 millions de personnes. La santé est arrivée en seconde position avec 113 attaques. Le président de l’ITRC a notamment attribué cette augmentation à un nombre plus important d’attaques « Zero Day », exploitant des failles logicielles avant qu’elles soient connues des éditeurs, et une nouvelle vague d’attaques de type ransomware (rançongiciels).

La bonne nouvelle est que le nombre de victimes est en baisse, avec près de 224 millions de victimes cette année, contre 425 millions l’année dernière. Toutefois, ces chiffres pourraient être bien en deçà de la réalité. Les lois américaines n’obligent pas les entreprises à signaler une violation de données si elles considèrent que les victimes potentielles ne sont pas exposées à un risque. En Europe, le règlement général sur la protection des données (RGPD) oblige les entreprises à signaler tout incident. Cela conduit à environ 350 000 notifications annuelles en Europe, alors que les États-Unis en comptent « seulement » 2 116 cette année. Le nombre réel de cyberattaques doit donc être bien plus élevé…

Source