Environ 15 millions de personnes qui se sont abonnées dans les trois dernières années aux services sans fil de T-Mobile, quatrième opérateur de téléphonie mobile des Etats Unis avec 25 millions d’abonnés, ont sans doute été victimes du vol de leurs informations personnelles suite à une cyber-attaque réussie contre l’un de ses fournisseurs, en l’occurrence Experian, qui est chargé d’évaluer la solvabilité des abonnés de l’opérateur aux États-Unis.
Trustev, la start-up irlandaise spécialisée dans la prévention des fraudes, a signalé la présence sur le Dark Web de lots de données qui pourraient provenir de ce piratage. Et ce, seulement 24 heures après la confirmation par Experian, le 1er octobre, du piratage de données personnelles des clients de T-Mobile ayant signé un contrat avec l’opérateur entre le 1er septembre 2013 et le 16 septembre 2015, soit environ 15 millions d’abonnés..
La cyber-attaque contre T-Mobile
Selon un courrier de John Legere, PDG de T-Mobile, les données volées comprennent:
- les noms, adresses, dates de naissance et numéros de téléphone des abonnés,
- leurs numéros de sécurité sociale « cryptés » et d’autres numéros d’identité (tels que numéros passeport ou de permis de conduire),
- «des informations supplémentaires utilisées pour leur évaluation de solvabilité pour T-Mobile »
Aucune information de paiement telle que les numéros de carte de crédit ou de cartes de débit n’aurait été dérobée par les pirates, ce qui n’est cependant pas très réconfortant d’autant que, selon T-Mobile, bien que les numéros de sécurité sociale et d’autres numéros d’identification aient été cryptés, il est à craindre que le cryptage ait été décodé par les pirates.
Les numéros de sécurité sociale dérobés, combinés avec les autres données d’identification telles que les noms et adresses, peuvent permettre de nombreux types de vol d’identité.
Un escroc pourrait les utiliser pour ouvrir un compte carte de crédit, demander des prêts bancaires pour les articles comme des voitures par exemple, ou même faire de fausses déclarations fiscales en votre nom.
T-Mobile et Experian ont confirmé que le vol des données était un résultat de l’accès non autorisé à un serveur d’Experian sur lequel les données des clients de T-Mobile étaient stockées.
Le site de l’opérateur a ouvert une page pour informer les personnes concernées des mesures prises. T-Mobile offre un abonnement gratuit de deux ans au service de suivi de crédit et de restauration d’identité ProtectMyID à toute victime potentielle du piratage. Mais, ironie de la situation, ProtectMyID est une division d’Experian et la proposition de John Legere a fait l’objet de vives attaques sur Twitter. « Experian comme service de protection… J’ai entendu votre message. Je me mets très rapidement en quête d’une autre option pour demain », a tweeté John Legere jeudi après-midi, en précisant que « l’autre option serait également gratuite ».
Les fournisseurs externes : cibles idéales pour une cyber-attaque
Les fournisseurs externes et sous-traitants sont devenus une cible attrayante et payante pour les pirates, car ils constituent un moyen facile d’accéder aux entreprises, surtout aux grandes organisations. Certains des plus gros vols de données de ces dernières années – y compris ceux concernant Target et Home Depot aux USA – n’ont été possibles qu’en raison de la sécurité insuffisante des fournisseurs.
Aujourd’hui, il n’y a quasiment aucune organisation qui ne repose pas sur des fournisseurs. Il est donc essentiel que le management des entreprises devienne plus rigoureux avec leurs partenaires commerciaux en ce qui concerne l’assurance des risques de l’information. Si les fournisseurs doivent avoir accès aux données d’une entreprise, il est essentiel qu’ils soient soumis au minimum au même niveau de sécurité que la société qui a recours à leurs services.
Vous assurer que vos fournisseurs – qu’ils soient sous-traitant informatique, avocat, comptable, banque ou, dans le cas de T-Mobile, une agence d’évaluation de solvabilité – applique strictement de robustes pratiques de sécurité de l’information est un impératif dans le climat technologique à haut risque actuel. Il est vital que tous vos fournisseurs disposent d’un cadre de cybersécurité clair, parfaitement défini et bien en place, autant dans votre intérêt que dans le leur.
Comment sécuriser la totalité de la chaîne?
ISO 27001, la norme internationale reconnue mondialement décrit les exigences pour un système de management de la sécurité de l’information (SMSI), et la certification ISO 27001 d’une organisation démontre qu’une entreprise applique les meilleures pratiques internationales en matière de sécurité de l’information.
Par conséquent, exiger de vos fournisseurs et sous-traitants ayant un accès à vos données qu’ils soient certifiés ISO 27001 devrait constituer un pré-requis de tout appel d’offres. Bien sûr le nombre de fournisseurs potentiels risque d’être plus réduit et sans doute les coûts seront plus élevés, mais il vous appartient de mesurer le risque encouru en cas de cyber-attaque sur votre fournisseur qui pourrait par rebond compromettre vos données.
Les impacts peuvent être colossaux notamment en matière de perte de réputation et d’image, de perte de clientèle ou même de chute de vos actions si vous êtes cotés en bourse. Souvenez-vous sur les douze derniers mois, les cyber-attaques ont coûté globalement plus de 400 milliards d’euros (soit environ de 262 millions de milliards en FCFA !!!) aux entreprises dans le monde. A titre d’exemple, on estime que l’attaque perpétrée cette année sur TV5 Monde aurait déjà coûté à la chaîne de télévision Française une coquette somme de l’ordre de 4 à 5 millions d’Euros.
Mais la cyber-sécurité qui vise à prévenir les menaces et à les détecter n’est pas suffisante car il faut aussi préparer l’organisation, en cas d’attaque réussie, à se remettre rapidement des dommages subis. Un cadre de cyber résilience tel que RESILIA, récemment publié par AXELOS, viendra adéquatement compléter une certification ISO 27001.
Dans tous les cas, une sensibilisation de l’ensemble du personnel de l’Entreprise sera indispensable car la décision de certifier une organisation contre les cyber-risques en implémentant un Système de Management de la Sécurité de l’Information basé sur ISO 27001 relève d’une décision de Gouvernance qui est du ressort du Conseil d’Administration, représentant les parties-prenantes de l’Entreprise et seul à même de donner la direction.
La stratégie de protection et de cyber-résilience relève pour sa part du Comité de Direction qui définit les stratégies de l’Entreprise, est responsable des politiques et de la planification.
La réalisation des stratégies consistant pour la sécurité et la résilience, à implémenter et améliorer un SMSI, à préparer une certification ISO 27001 et à sensibiliser et former l’ensemble du personnel aux bonnes pratiques de sécurité de l’information et à la cyber-résilience constituera la responsabilité de tous les niveaux de management.
Il s’agit donc d’un approche top-down qui couvre la totalité de l’organisation et pas seulement, comme je l’entend trop souvent dans les Enterprises, le département informatique qui, s’il est bien sûr impliqué pour les aspects techniques, le sera d’une façon sans doute moins importante que département des ressources humaines, car la sécurité ne peut pas s’abriter derrière la technologie. C’est d’abord une responsabilité primordiale des individus.
Pour plus d’informations ou pour vous abonner à notre newsletter, merci de compléter le formulaire de contact :