27/09/2017

Equifax y Deloitte : Comment en éviter?

Tout récemment, les entreprises Equifax et Deloitte ont été victimes d’attaques informatiques, qui ont entraîné sérieux dommages.

Equifax est considérée l’entreprise avec le contrôle de crédit le plus stricte du monde entier ; de sa part, Deloitte appartient au groupe connu comme « Big Four » (« Les 4 Grands »), en raison de son offre de services et sa disponibilité mondiale. Toutes les deux, elles se sont consolidées comme fortes entreprises dans leurs industries.

La réputation de deux entreprises a été engagée à cause des faits récents, notamment par la vitesse de diffusion de la nouvelle dans les médias, à la bourse, à l’endroit judiciaire et dans les réseaux sociaux, même si les détails des incidents n’ont pas été publiés par les victimes, de peur de gagner une mauvaise publicité, de perdre leur réputation, d’affronter des dommages économiques, etc.

Ce qui est arrivé dans les deux cas peut être ainsi résumé :

Equifax :
Le 17 septembre 2017, l’entreprise a dénoncé publiquement un accès non-autorisé à son infrastructure, qui a eu lieu le 29 juillet. L’information téléchargée par les attaquants comprend, entre autres, les numéros de la sécurité sociale, les registres des crédits et les numéros de cartes de crédit de 143 millions de citoyens des États-Unis et de beaucoup d’autres pays. Cette information a été mise en vente immédiatement dans le marché noir.

Deloitte :
Le 25 septembre 2017, l’attaque reçu par l’entreprise, entraînant l’exposition d’e-mails de clients et de secrets commerciaux, s’est fait public. L’incident a été découvert au mois de mars ; pourtant, il est possible qu’il ait été commis pendant les mois d’octobre et novembre 2016.

Au-delà des soucis, il y a une question qui doit être posée : Comment explique-t-on le temps écoulé entre la date des incidents et celle de sa découverte ?

La réponse est crue : les processus de sécurité échouent.

Comment en éviter ?

Soit une entreprise d’une petite taille, soit une grande corporation multinationale, les processus de protection, de détection et de correction ne sont jamais 100 % effectifs.

En plus, il ne faut pas avoir confiance absolue dans les mesures de sécurité mises en place, ou ignorer les audits et les révisions périodiques..

La combinaison correcte des processus de défense, avec l’exécution de tests permanents et de mécanismes de détection peuvent générer une différence significative dans le niveau d’exposition de toute organisation.