Qu'est-ce que l'exfiltration de données ?
L'exfiltration de données désigne le vol effectif d'informations : le moment où un attaquant transfère des données depuis l'environnement de la victime vers un système qu'il contrôle. Elle intervient généralement en fin de chaîne d'attaque, une fois l'accès obtenu et les données sensibles localisées.
Longtemps discrète, l'exfiltration est devenue centrale avec la double extorsion : les attaquants volent les données avant de les chiffrer, afin de menacer de les publier même si la victime dispose de sauvegardes.
Pourquoi c'est important pour votre organisation
Une exfiltration transforme un incident technique en crise aux conséquences durables : obligations de notification, atteinte à la réputation, perte d'avantage concurrentiel, sanctions réglementaires liées à la protection des données. Contrairement à des systèmes que l'on restaure, des données volées ne peuvent pas être « reprises ».
C'est aussi ce qui donne aux attaquants un moyen de pression puissant. Même une organisation bien sauvegardée reste vulnérable à la menace de divulgation de ses données sensibles.
Comment réduire le risque
- Classification des données : savoir où se trouvent les informations sensibles.
- Contrôle des accès et moindre privilège pour limiter ce qui est atteignable.
- Surveillance des flux sortants : volumes, destinations, horaires anormaux.
- Prévention des pertes de données (DLP) sur les canaux critiques.
- Segmentation pour compliquer le rassemblement de grands volumes.
Où les organisations pèchent le plus souvent
L'écueil le plus fréquent est de concentrer la défense sur l'entrée (empêcher l'intrusion) en négligeant la sortie (empêcher les données de partir). Sans surveillance des flux sortants, une exfiltration peut se dérouler sur des jours sans alerte. L'autre erreur est d'ignorer où résident réellement les données sensibles, ce qui rend impossible toute protection ciblée.