A l\u2019heure o\u00f9 la cybercriminalit\u00e9 sur internet d\u00e9fraie r\u00e9guli\u00e8rement la chronique, l\u2019incident de Vodafone nous rappelle que les incidents de s\u00e9curit\u00e9 peuvent \u00e9galement provenir de l\u2019int\u00e9rieur de l\u2019entreprise.<\/p>\n
L\u2019enqu\u00eate semble converger vers un prestataire de l\u2019op\u00e9rateur qui aurait r\u00e9alis\u00e9 le vol de donn\u00e9es. Ce dernier a d\u00e9j\u00e0 \u00e9t\u00e9 interpell\u00e9 par les forces de l\u2019ordre, preuve pour les plus sceptiques, de l\u2019efficacit\u00e9 aujourd\u2019hui des autorit\u00e9s sur ces dossiers d\u2019attaques informatiques. Nous en saurons certainement plus dans les jours qui viennent sur ses motivations, mais la recherche de gains financiers ne doit pas \u00eatre n\u00e9glig\u00e9e. Aujourd\u2019hui, un \u00ab\u00a0enregistrement client\u00a0\u00bb (nom, pr\u00e9nom, adresse\u2026) peut se monnayer autour de 15 centimes de dollars, ce qui repr\u00e9sente quand m\u00eame plus 300\u00a0000 euros dans le cas de Vodafone.<\/p>\n
En effet, plus de deux millions de donn\u00e9es clients ont \u00e9t\u00e9 d\u00e9rob\u00e9es, dont certaines informations bancaires. Ces donn\u00e9es pourront servir \u00e0 r\u00e9aliser des attaques en phishing<\/em> de \u00ab\u00a0haute qualit\u00e9\u00a0\u00bb, capables de tromper plus facilement les destinataires gr\u00e2ce \u00e0 des informations fiables. Heureusement, les enregistrements les plus sensibles (num\u00e9ro de carte, mot de passe\u2026) semblent avoir \u00e9t\u00e9 \u00e9pargn\u00e9s. Dans le cas contraire, \u00a0l\u2019impact aurait pu \u00eatre bien plus important\u00a0: des fraudes financi\u00e8res auraient pu \u00eatre r\u00e9alis\u00e9es directement.<\/p>\n Cet incident met \u00e0 nouveau en lumi\u00e8re la faille majeure que repr\u00e9sentent les fonctions d\u2019administrations du SI. Sans pr\u00e9juger de la situation de Vodafone, ces fonctions sont souvent externalis\u00e9es \u00e0 moindre co\u00fbt dans des m\u00e9ga-contrats dont les contours sont toujours difficiles \u00e0 cerner (qualification des employ\u00e9s, sous-traitance masqu\u00e9e, pays concern\u00e9s\u2026) et dont les mesures de s\u00e9curit\u00e9 cens\u00e9s encadrer les usages sont rarement v\u00e9rifi\u00e9es sur le terrain. Et cette situation se rencontre malheureusement dans de nombreux secteurs, m\u00eame les plus sensibles. N\u2019oublions pas qu\u2019Edward Snowden, administrateur sous-traitant, nous d\u00e9voile r\u00e9guli\u00e8rement depuis le d\u00e9but de l\u2019\u00e9t\u00e9 des documents secrets de la NSA\u2026<\/p>\n Vodafone vient de voir son image \u00e9corn\u00e9e et les co\u00fbts de gestion de l\u2019incident risquent d\u2019\u00eatre \u00e9lev\u00e9s. Au-del\u00e0 des co\u00fbts directs li\u00e9s aux investigations, le volet notification des clients peut \u00eatre majeur. Les chiffres en provenance des \u00c9tats-Unis parlent d\u2019un co\u00fbt autour de 100\u20ac par clients \u00e0 notifier, nous sommes dans une fourchette rapidement sup\u00e9rieures \u00e0 la centaine de millions d\u2019euros.<\/p>\n Dans cette situation, et pour limiter les impacts, un contrat de cyber assurance peut \u00eatre utile, mais attention il ne doit pas contenir d\u2019exclusion sur les malveillances internes.<\/p>\n Au-del\u00e0 de cette mesure de compensation, il est bien \u00e9videmment n\u00e9cessaire de v\u00e9rifier sur les p\u00e9rim\u00e8tres les plus sensibles de l\u2019entreprise, la qualit\u00e9 et la s\u00e9curit\u00e9 des processus d\u2019administration. Il s\u2019agit d\u2019un chantier d\u2019ampleur, qui au-del\u00e0 de la mise en place de mesures techniques (mise en place de plateforme de rebond, journalisation des actions, limitations des comptes d\u2019administration, utilisation de postes de travail d\u00e9di\u00e9s non connect\u00e9s \u00e0 Internet\u2026) est avant tout un projet de conduite du changement. Un changement \u00e0 mener \u00e0 deux niveaux, aupr\u00e8s de populations de la DSI souvent tr\u00e8s (voir trop) autonomes dans la r\u00e9alisation de leurs actions au quotidien qui doivent accepter la mise en place de mesure de s\u00e9curit\u00e9 et de contr\u00f4le, mais aussi et peut \u00eatre surtout au niveau de la direction des achats pour valoriser les fonctions d\u2019administration du SI et faire de la s\u00e9curit\u00e9 un des crit\u00e8res de premiers plans dans les contrats d\u2019externalisation.<\/p>\n","protected":false},"excerpt":{"rendered":" A l\u2019heure o\u00f9 la cybercriminalit\u00e9 sur internet d\u00e9fraie r\u00e9guli\u00e8rement la chronique, l\u2019incident de Vodafone nous rappelle que les incidents de s\u00e9curit\u00e9 peuvent \u00e9galement provenir de l\u2019int\u00e9rieur de l\u2019entreprise. Une attaque motiv\u00e9e par la perspective de gains financiers L\u2019enqu\u00eate semble converger…<\/p>\n","protected":false},"author":15,"featured_media":6227,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"page-templates\/tmpl-one.php","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[3222,36,43],"tags":[1349,183,412,1149,3304],"coauthors":[837],"class_list":["post-4350","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-cyberrisk-management-strategy","category-cybersecurity-digital-trust","category-telcos","tag-cyberassurance","tag-cybercriminalite","tag-donnees-a-caractere-personnel","tag-phishing","tag-risk-management-strategy-governance"],"acf":[],"yoast_head":"\n\u00a0Prestataires et administrateurs\u00a0: des populations \u00e0 encadrer<\/h2>\n
Des changements \u00e0 entamer \u00e0 la DSI et \u00e0 la direction des achats d\u00e8s aujourd\u2019hui pour limiter les risques<\/h2>\n