Victime d’une brèche informatique? Les mauvais exemples à ne pas suivre

par Groupe services-conseils en gestion des risques

Original, tel qu’il apparaît sur FacteurH – http://facteurh.com

Il y a 143 millions de consommateurs touchés par cette nouvelle brèche de données massive ayant impacté à la fois des citoyens américains, mais aussi des concitoyens canadiens et anglais.

Cet incident a généré une puissante dégringolade pour la compagnie (NYSE : EFX) sur le NYSE : l’agence américaine d’évaluation de crédit a vu son action perdre plus de 13 % dans les échanges d’après-Bourse.

Dans ces informations volées, on peut trouver des numéros d’assurance sociale, des numéros de cartes de crédit actives et leur limitation, les informations personnelles (date de naissance, numéro de téléphone, adresse… etc.). Et alors me direz-vous? Vous vous rappelez votre dernière discussion téléphonique avec votre institution bancaire? Les questions de sécurité pour vérifier votre identité? Tout y est. En effet, grâce à ces informations consolidées, un fraudeur peut aisément usurper l’identité d’innocentes victimes comme vous et moi.

Quelles erreurs ont été commises?

1. La surveillance de sécurité : Equifax pense, après enquête interne, que l’attaque serait datée de mai de cette année, détectée en juillet, soit respectivement 5 et 3 mois avant l’annonce publique. Je demande souvent, comment savez-vous que vous n’êtes pas victime d’une cyberattaque, si vous êtes « aveugle » et « sourd ». En effet, l’absence d’outils de surveillance et de pratiques actives de supervision de sécurité reste la première cause de délais aussi dramatiques. Il est évident que bien des fraudes ont été perpétrées une fois les données volées durant la centaine de jours séparant le vol de l’annonce et la réaction publique. L’absence de surveillance est une forme de négligence.
2. La communication trop tardive aux premiers impactés : lorsque l’on parle de plusieurs jours pour une notification dans le cas d’une importante cyberattaque avec impact client, c’est beaucoup. Plusieurs semaines, c’est inacceptable; plusieurs mois, je ne sais plus trop ce que c’est. Rien ne justifie l’absence de communication avec les personnes impactées par une brèche de données, surtout quand ces données permettent l’usurpation majeure d’identité des victimes. Rappelons que ces données ne sont pas la propriété d’Equifax, mais bien celle de leurs clients. Les clients font confiance à la compagnie pour protéger et sauvegarder ces données sensibles qui leur sont confiées. L’autre conséquence de cette erreur est l’apparence tout de suite médiatisée de conflit d’intérêts des fameux trois cadres supérieurs d’Equifax ayant vendu quelques-unes de leurs actions d’Equifax après la découverte des événements à l’interne.
3. Les tests de vulnérabilité et les évaluations de cybersécurité n’étaient clairement pas… existants ou…, efficaces ou…, les recommandations de sécurité émanant de ceux-ci, correctement appliquées : ces évaluations de la bonne hygiène de sécurité sont nécessaires à tous. En effet, elles déterminent si les contrôles en place censés protéger les données confidentielles sont sous notre responsabilité. À la suite de l’attaque, plusieurs experts de la communauté mondiale de sécurité ont publié sur Tweeter des preuves de vieilles vulnérabilités présentes sur les systèmes d’Equifax. La norme PCI qui certifie les organisations stockant ou transmettant des données de cartes de crédit oblige pourtant ces organisations à effectuer des tests de vulnérabilité sur leurs infrastructures informatiques. Malheureusement, pour Equifax le site créé en urgence et mis à disposition gracieusement par la firme pour les aider a été identifié comme dangereux.

Quelles leçons tirer de cette situation?

• Assurez-vous de bien comprendre l’écosystème de données étant sous votre responsabilité. Vos clients, vos collaborateurs, votre organisation, vos partenaires, vos fournisseurs… etc.
• Assurez-vous de garder ces données physiquement proches, sous votre contrôle et correctement chiffrées au repos et en transit.
• Assurez-vous de bien identifier les régulations applicables aux données sous votre responsabilité.
• Assurez-vous de faire analyser votre posture de sécurité par des experts en cybersécurité.