Les révélations sur les failles de sécurité ayant visé la société Target se multiplient. Les chiffres les plus fous circulent actuellement : 30% de la population des États-Unis aurait vu ses données personnelles compromises. Et surtout les dernières nouvelles montrent que ces attaques ont eu lieu en parallèle sur plusieurs autres chaînes de magasins (Neiman Marcus en particulier).
Gérôme Billois, expert sécurité au Cercle européen de la sécurité et des systèmes d’information, revient notamment sur :
– L’origine de ces attaques ;
– Le procédé utilisé par les cybercriminels ;
– Les impacts pour la société Target ;
– La possibilité ou non pour les entreprises de se prémunir d’une telle malveillance ;
– …
Pourquoi ces attaques ?
Parce que les données personnelles et de paiement valent aujourd’hui de l’argent. Un enregistrement client (nom, prénom, adresse…) se revend autour de 25 centimes de dollars. Les prix s’envolent pour les numéros de carte bancaire. Celles volées chez Target s’échangent entre 20 et 130$ suivant leur origine. Les cybercriminels gagnent de l’argent avec ces attaques et parfois beaucoup, pour l’affaire Target on parle de plusieurs dizaines de millions de dollars.
Comment ces attaques ont-elles été réalisées ?
Tous les détails ne sont pas encore connus mais le mode opératoire est simple et souvent rencontré. Les cybercriminels se sont probablement introduits sur le réseau interne en envoyant des emails piégés à certains collaborateurs ou sous-traitants. Ils ont ensuite pu déployer des logiciels malveillants sur les terminaux de paiements. Ceux-ci ont « écouté » les données transitant lors des paiements réalisés par les clients. À ce moment, les attaquants ont dû en profiter pour étendre leur recherche sur le réseau et voler les bases de données clients.
Ces attaques sont-elles préméditées ?
Oui, clairement, nous ne sommes plus dans l’époque où des virus frappaient sans cible déterminée. Cette attaque a été planifiée, en particulier car elle a été déclenchée pendant le week-end de Thanksgiving, période d’activité commerciale maximum aux États-Unis. Elle montre la détermination des cybercriminels à réaliser le maximum de gain.
Les entreprises peuvent-elles se protéger ?
Oui, les moyens pour se protéger d’attaques de cybercriminels existent. Autant lutter contre des services de renseignement comme la NSA est complexe, autant les cybercriminels « classiques » utilisent des méthodes d’attaques connues et maîtrisables. Il s’agit souvent d’appliquer les bonnes pratiques : maintien à jour des systèmes, mise en place de solutions de lutte contre les malware, surveillance du système d’information ou encore cloisonnement des systèmes les plus critiques.
Mais alors pourquoi ces attaques se produisent quand même ?
Il y a de multiples réponses à cette question, mais un des facteurs principaux est que les systèmes « métiers » (comme les terminaux de paiements, les distributeurs de billets, les bornes de paiements, les systèmes industriels…) sont trop souvent « oubliés » lors de la mise en place des mesures de sécurité. Les responsables sécurité ne sont pas tenus informés par les équipes métiers des projets et les bonnes pratiques ne sont pas mises en place sur des équipements, certes particuliers, mais qui doivent être protégés. Le support de la direction générale est essentiel pour faire appliquer les mesures de sécurité sur tous les périmètres de l’entreprise sans exception.
Quels vont être les impacts pour Target ? Peuvent-ils faire jouer des assurances ?
Les conséquences pour Target sont majeures, les actionnaires ont déjà été prévenus : les ventes ont chuté de 2 à 6% suite à l’attaque, le bénéfice par action va perdre 30% ! Leur PDG a été poussé à réaliser une interview diffusée sur CNBC au États-Unis. Les canaux de communication client comme les call-centers sont dépassés par les appels reçus et impactent également les ventes.
N’oublions pas que les coûts liés à l’incident sont des multiples du nombre de clients touchés. Suivant les cas, on parle d’une somme variant entre 20$ et 200$ par client. Dans le cas de Target, on devrait donc dépasser largement le milliard de dollars ! Et aujourd’hui, les produits de cyberassurance standards ne permettent pas de couvrir des pertes si importantes. En France, les plafonds se situent autour de 200 millions d’euros.
Comment faire pour éviter que de telles attaques se produisent en France ?
Clairement des attaques de ce type peuvent se produire en France. Il est nécessaire que toutes les organisations qui manipulent des données à caractère personnel ou des données de paiement mettent en place des programmes sécurité complets mais surtout appliqués sur l’ensemble des périmètres. Les responsables sécurité doivent toujours étendre leur champ d’action, en particulier en visant les systèmes métiers spécifiques, pour cela il faut parfois « forcer la porte » et se faire entendre. Au-delà de la protection, il est aussi nécessaire de se préparer à gérer ce type de crise en ayant réalisé des exercices en grandeur réelle.
Espérons que l’attaque sur Target soit un révélateur pour les directions générales et les responsables métiers d’autres grandes organisations et que la situation rencontrée fasse progresser la sécurité dans son ensemble.