Un homme d'affaire sautant par dessus un gouffre.
sentavio / 123rf

Cet incident a généré une puissante dégringolade pour la compagnie (NYSE: EFX) sur le NYSE. En effet, l’agence américaine d’évaluation de crédit a vu son action perdre plus de 13 % dans les échanges d’après-Bourse.

Dans ces informations volées, on peut trouver des numéros d’assurance sociale, des numéros de cartes de crédit actives et leur limitation, ainsi que des informations personnelles (dates de naissance, numéro de téléphone, adresse…etc.). Et alors me direz-vous ? Eh bien, vous rappelez-vous de votre dernière discussion téléphonique avec votre institution bancaire ? Les questions de sécurité visant à vérifier votre identité ? Tout y est. En effet, grâce à ces informations consolidées, un fraudeur peut aisément usurper l’identité d’innocentes victimes comme vous et moi.

Quelles erreurs ont été commises ?

1- La surveillance de sécurité : Equifax pense, après une enquête interne, que l’attaque, qui datée de mai de cette année a été détectée en juillet, soit respectivement cinq et trois mois avant l’annonce publique. Je demande souvent, comment savez-vous que vous n’êtes pas victimes d’une cyberattaque, si vous êtes « aveugles » et « sourds ».

En effet, l’absence d’outils de surveillance et de pratiques actives de supervision de sécurité reste la première cause de délais aussi dramatiques. Il est évident que bien des fraudes ont été perpétrées une fois les données volées, soit pendant la centaine de jours séparant le vol de et l’annonce, ainsi que la réaction publique. L’absence de surveillance est une forme de négligence. À la suite de la mise en place de la solution.

2- La communication trop tardive envers les premiers impactés : lorsque l’on parle de plusieurs jours pour une notification dans le cas d’une importante cyberattaque avec impact client, c’est beaucoup. Plusieurs semaines, c’est inacceptable; plusieurs mois, je ne sais plus trop ce que c’est. Rien ne justifie l’absence de communication auprès des personnes touchées par une brèche de données, surtout quand ces données permettent l’usurpation majeure d’identité des victimes.

Rappelons que ces données ne sont pas la propriété d’Equifax, mais bien celles de leurs clients. Les clients font confiance à la compagnie pour protéger et sauvegarder ces données sensibles qui leur sont confiées. L’autre conséquence de cette erreur est l’apparence – tout de suite médiatisée – de conflit d’intérêts des fameux trois cadres supérieurs d’Equifax ayant vendu quelques-unes de leurs actions d’Equifax après la découverte des évènements à l’interne.

3- Les tests de vulnérabilités et les évaluations de cybersécurité n’étaient clairement pas…existants, ou efficaces, ou les recommandations de sécurité émanant de ceux-ci, correctement appliquées : ces évaluations de la bonne hygiène de sécurité sont nécessaires à tous. En effet, elles déterminent si les contrôles en place censés protéger les données confidentielles sous notre responsabilité sont adéquats.

À la suite de l’attaque, plusieurs experts de la communauté mondiale de sécurité ont publié sur Twitter les preuves de vieilles vulnérabilités présentes sur les systèmes d’Equifax. La norme PCI qui certifie les organisations stockant ou transmettant des données de cartes de crédit oblige pourtant ces organisations à effectuer des tests de vulnérabilités sur leurs infrastructures informatiques. Malheureusement pour Equifax, le site créé en urgence et mis à disposition gracieusement par la firme pour aider les a été identifié comme dangereux.

Quelles leçons tirer de cette situation ?

• Assurez-vous de bien comprendre l’écosystème de données étant sous votre responsabilité. Ce qui inclus vos clients, vos collaborateurs, votre organisation, vos partenaires, vos fournisseurs, notamment.

• Assurez-vous de garder ces données physiquement proches, sous votre contrôle et correctement chiffrées au repos et en transit.
• Assurez-vous de bien identifier les régulations applicables sur les données sous votre responsabilité.

• Assurez-vous de faire analyser votre posture de sécurité par des experts en cybersécurité.