Écrit par Katherine Rusk and Ruth E. Promislow

Le PDG de la populaire application de covoiturage, Uber, a publié hier une lettre qui a fait l’effet d’une bombe au public, affirmant que deux pirates informatiques avaient volé des informations sur près de 60 millions de comptes de chauffeurs et de passagers en octobre 2016.

Les renseignements personnels compromis comprennent les noms, les adresses électroniques, les numéros de permis de conduire et les numéros de téléphone mobile. Selon une déclaration de Dara Khosrowshahi, l’actuel PDG d’Uber, les pirates n’ont pas eu accès aux numéros de carte de crédit, aux numéros de sécurité sociale, aux dates de naissance ou aux informations sur le lieu du voyage.

Des sources anonymes s’adressant à Bloomberg et au New York Times ont déclaré que le président-directeur général et le chef de la sécurité de la société de l’époque avaient négocié un accord avec les pirates pour payer 100 000 $ en rançon en échange de la suppression des données et d’un accord de non-divulgation, et qu’Uber avait caché les paiements. Le New York Times a rapporté qu’Uber a congédié son CSO pour cette réponse à la violation.

La révélation d’Uber met en évidence deux problèmes clés pour les organisations afin d’assurer une bonne hygiène de cybersécurité.

Le premier problème est que la sécurité tierce est votre sécurité. Le point d’entrée des pirates dans le système d’Uber était par le biais d’un service cloud tiers. L’utilisation d’un service tiers pour compromettre une grande entreprise est méthode d’attaque peu fréquente pour les pirates informatiques - comme cela a été découvert récemment par Orange Is The New Black, Target, Home Depot, Costco, etc.

Les organisations qui utilisent des fournisseurs de services basés sur le cloud doivent comprendre les étapes prises par le fournisseur pour maintenir la sécurité. Ceci est non seulement important dans le but de prévenir les attaques, mais il est également important pour limiter l’exposition aux réclamations découlant de l’attaque. En termes plus simples, votre organisation peut être exposée à l’échec de votre fournisseur de services tiers à utiliser un protocole de cybersécurité approprié.

Le deuxième problème mis en évidence par l’incident d’Uber est qu’une organisation peut être exposée à la responsabilité non seulement pour une violation elle-même, mais aussi pour la façon dont elle réagit à la violation. La façon dont une organisation traite une violation peut donner lieu à des réclamations ou peut aider à réduire la responsabilité. Le règlement du recours collectif de 2016 pour la Home Depot violation de données montre comment les entreprises peuvent atténuer leur responsabilité en prenant des mesures de notification proactives et en aidant les personnes touchées à atténuer tout préjudice.

Les régulateurs du Royaume-Uni, de l’Australie, des Philippines et de New York ont déjà annoncé qu’ils seront 'examiner la violation de données d’Uber.

Les organisations doivent non seulement être proactives en cherchant à prévenir les attaques, mais aussi avoir un plan bien pensé déjà en place pour répondre aux incidents.