Les atteintes à la protection des données récemment annoncées impliquant Equifax, Deloitte et la Securities and Exchange Commission des États-Unis soulignent que les atteintes à la protection des données sont un mode de vie. Les organisations doivent être prêtes.
Au cours du dernier mois, ces trois grandes organisations ont révélé que leurs données avaient été compromises après que des pirates informatiques aient été présents dans leurs systèmes pendant des semaines ou des mois.
La semaine dernière, on a appris que Deloitte, l’une des plus grandes sociétés de services professionnels au monde, a été victime d’une cyberattaque qui a potentiellement compromis jusqu’à 5 millions de courriels en plus des mots de passe, des noms d’utilisateur et des renseignements commerciaux confidentiels. L’atteinte semble être passée inaperçue chez Deloitte pendant six mois.
La semaine dernière, la Securities and Exchange Commission des États-Unis a publié une déclaration selon laquelle les pirates informatiques avaient accès à des informations confidentielles et étaient en mesure d'«obtenir des profits commerciaux illicites » en 2016, ce qui n’a été réalisé qu’en août 2017.
La semaine précédente, le service de surveillance du crédit Equifax a annoncé que les données personnelles de jusqu’à 143 millions de consommateurs étaient accessibles aux pirates informatiques depuis plus de trois mois.
Il y a de bonnes chances que votre organisation ait déjà été piratée. Vous ne le savez tout simplement pas encore.
En matière de cybersécurité, aucune nouvelle n’est plus une bonne nouvelle. Ce n’est pas parce que rien n’a été porté à votre attention qu’il n’y a pas de menaces qui se cachent dans votre réseau, qui volent vos données et qui exposent votre organisation à la responsabilité et à l’extorsion.
S’ils sont déterminés, les pirates peuvent pénétrer presque n’importe quelle barrière. En février, un hacker a incité jusqu’à 150 000 imprimantes à encrer un message disant qu’elles avaient été piratées, des imprimantes de bureau aux États-Unis à une machine de réception de restaurant au Chili. En 2014, un réfrigérateur "smart » a été piraté et, avec près de 100 000 autres gadgets grand public, a envoyé 750 000 courriels malveillants à des entreprises et à des particuliers dans le monde entier. 2 Tout point d’accès à votre réseau peut être une vulnérabilité et les vecteurs potentiels augmentent chaque jour.
La défense de la cybersécurité ne consiste pas seulement à construire des murs pour empêcher les pirates informatiques d’entrer dans le réseau d’une organisation. La défense de la cybersécurité doit également se concentrer sur la détection des auteurs de menaces qui se sont frayé un chemin dans le réseau. L’échec de la mise en œuvre de mesures de détection peut exposer une organisation à un envahisseur sans même le savoir, ce qui permet à l’envahisseur de se cacher autour de votre réseau pendant des mois à la fois en regardant l’activité et en attendant un moment optimal pour voler des informations.
Pour aggraver les choses, une organisation peut être exposée à la responsabilité de ne pas avoir mis en place des mesures de détection raisonnables. La réglementation des questions de cybersécurité par la Federal Trade Commission (FTC) aux États-Unis fournit des conseils utiles concernant l’exposition potentielle des organisations à la suite d’un incident. Dans plusieurs cas, la FTC a accusé des organisations d’avoir omis de prendre des mesures raisonnables pour détecter l’accès non autorisé à leur réseau. La leçon à tirer est que les organisations sont censées non seulement mettre en œuvre des mesures pour empêcher les intrus d’accéder à leurs réseaux (ce que l’expérience montre est probable); on s’attend également à ce qu’ils mettent en œuvre des mesures pour détecter les intrus une fois qu’ils ont accès au réseau.
Les organisations, grandes et petites, doivent mettre en œuvre un plan de cybersécurité qui cherche à la fois à prévenir les attaques et à les détecter lorsqu’elles se produisent. Les récentes attaques contre de grandes organisations nous apprennent que personne n’est à l’abri des attaques. Investir les ressources nécessaires pour planifier de manière appropriée est un coût nécessaire de l’entreprise.