Aujourd’hui, les violations de données sont devenues monnaie courante. Une affaire n’a pas sitôt fait la une des médias qu’elle est éclipsée par une autre. Il nous a donc semblé utile de réexaminer une affaire survenue il y a un an et de nous pencher sur son coût total pour l’entreprise concernée. La violation de données en question a eu lieu en octobre 2015. La victime, l’opérateur britannique TalkTalk, a fait l’objet d’une attaque DDoS, doublée d’une injection SQL à l’origine de l’extraction des données.
Contexte
Au mois d’octobre 2015, TalkTalk a subi un piratage de données qui s’est soldé par le vol d’informations personnelles. Une description complète de la perte de données étant disponible dans d’autres articles, nous n’entrerons pas ici dans les détails techniques de l’affaire.
Si l’incident a été très largement médiatisé au Royaume-Uni, le flou a régné les premiers jours autour de la situation et de la quantité de données dérobées. Au final, ce sont les données personnelles de 156 959 clients qui ont été subtilisées, dont 15 656 renfermant des coordonnées bancaires. L’opérateur a contacté tous ses clients afin de les rassurer, et leur a même offert un abonnement annuel gratuit à un service de contrôle des crédits pour le cas où d’autres données auraient été perdues et détournées.
Dans les résultats financiers suivants, la société a reconnu une perte de clientèle, à laquelle s’ajoutent 60 000 000 £ (69 171 441,42 €) de coûts directs et une baisse du chiffre d’affaires de 80 000 000 £ (92 228 588,56 €). Une analyse du marché global a par la suite révélé que l’opérateur avait perdu 4,4 % de parts de marché.
Checklist de réponse aux violations de données
Téléchargez cette checklist pour savoir comment préparer un plan de réponse efficace aux incidents avant qu’une violation de données ne survienne.
Un an plus tard, en octobre 2016, TalkTalk s’est vu infliger une amende de 400 000 £ (461 148 €) par l’ICO (Information Commissioner’s Office) pour négligence en matière de cybersécurité. Il s’agit de la sanction financière la plus sévère jamais prononcée par cet organisme. La commissaire à l’information Elizabeth Denham a expliqué que « l’absence de mesures de cybersécurité les plus élémentaires avait permis aux pirates de s’introduire facilement dans les systèmes ». Même si le montant de l’amende peut sembler élevé aux yeux de certains, il correspond à 2,50 £ (2,80 €) seulement par client touché.
Voici le détail des coûts actuels pour l’opérateur :
Examinons plus en détails cette violation afin de voir quelles leçons les entreprises peuvent en tirer :
1- Il n’est pas toujours évident d’évaluer le coût total d’une violation de données
Bien que l’amende de 400 000 £ ((461 148 €) représente une somme considérable, il ne s’agit là que de la partie visible de l’iceberg au regard du véritable coût de la fuite de données. L’incident a eu de nombreuses autres répercussions financières, qui auraient pu être fatales à d’autres entreprises. Il a engendré une baisse de 11 % de l’action, le départ de 101 000 clients existants et la perte de clients potentiels futurs. Au total, frais des mesures correctives inclus, TalkTalk a estimé le coût de la violation à plus de 80 millions de livres sterling ((92 228 588,56 €) de chiffre d’affaires. Une facture particulièrement lourde.
2- Les acquisitions et les scissions jouent sur les cyber-risques
La société Carphone Warehouse a racheté la filiale britannique de Tiscali et l’a fusionnée avec TalkTalk, entité dont elle était également propriétaire à l’époque. Suite à la violation de données, l’enquête de l’ICO a révélé que les pirates avaient eu accès à la base de données clients par l’intermédiaire de pages Web vulnérables appartenant à Tiscali. Lorsque des entreprises fusionnent ou se scindent, il convient de traiter les répercussions possibles de l’opération, aussi insignifiantes soient-elles, sur les systèmes informatiques. La présence de systèmes hétérogènes peut nuire à l’efficacité d’une solution ou d’un processus de cybersécurité, laissant des points d’accès potentiels sans surveillance.
3- L’application de correctifs et de mises à jour peut limiter les risques liés à des systèmes vieillissants
Que les anciens systèmes soient plus vulnérables aux cyberattaques que les nouveaux n’est pas une grande surprise. Certaines entreprises continuent pourtant à utiliser des systèmes vieillissants sans leur appliquer de correctifs ou de mises à jour, ce qui simplifie considérablement la tâche des cybercriminels. Les pages Web de Tiscali ciblées par l’attaque n’avaient pas reçu de correctifs depuis trois ans. Quant au logiciel de base de données, il ne bénéficiait plus d’aucun support de la part de son éditeur. Lorsque l’on considère le rythme auquel les cybermenaces évoluent, autant laisser les portes et les fenêtres grandes ouvertes aux pirates. Les entreprises doivent veiller à l’application régulière de correctifs et se ménager du temps pour les mises à jour majeures.
4- Les avertissements et signaux d’alarme doivent faire l’objet d’investigations
TalkTalk est et restera sous étroite surveillance pour sa gestion de la crise, mais ce qui lui est surtout reproché, c’est d’avoir négligé les nombreux signaux alarmants. Même si la violation de données d’octobre 2015 est celle qui a fait les gros titres, les clients de TalkTalk avaient déjà été victimes d’escroqueries suite à une précédente violation et, d’après l’enquête du régulateur, deux attaques par injection SQL s’étaient produites au cours des trois mois précédents. Or, TalkTalk n’a pas surveillé ces pages Web spécifiques. Que la société ait passé outre ces avertissements ou n’en ait tout simplement pas eu connaissance, une chose est sûre : les entreprises doivent procéder à des investigations au moindre signe suspect. Cela vaut aussi pour les signaux d’alarme émis par les systèmes de sécurité. Près d’un tiers des entreprises peinent à traiter les alertes en raison de leur fréquence et du nombre élevé de faux positifs, si bien qu’elles finissent par les ignorer.
5- La mise en place d’un plan de communication est essentielle
La façon dont une entreprise communique autour d’une violation de données est essentielle pour atténuer l’atteinte potentielle à sa réputation. Lorsque les données des clients sont piratées, ils doivent en être informés, a fortiori si leurs coordonnées bancaires ont été dérobées. Pour montrer à toutes les parties prenantes que la situation est sous contrôle, les entreprises doivent élaborer un plan de communication comprenant des modèles d’e-mail, de lettre et de script immédiatement exploitables. Malheureusement, les réactions initiales de TalkTalk ont mis de l’huile sur le feu en raison notamment d’un manque de préparation et du temps qu’il a fallu à l’opérateur pour chiffrer la perte de données totale. Les entreprises doivent communiquer de manière proactive, mais aussi disposer des ressources nécessaires pour traiter les appels des clients. Ceux qui ont contacté TalkTalk pour obtenir plus de renseignements ont dû subir de longs temps d’attente, ce qui n’a fait qu’amplifier leur colère.
6- Des amendes encore plus lourdes prévues par le règlement général européen sur la protection des données (GDPR)
Si l’ICO a infligé à TalkTalk une amende record, l’opérateur peut s’estimer heureux que l’incident soit survenu avant l’entrée en vigueur du règlement général européen sur la protection des données (GDPR) au mois de mai 2018. Le nouveau règlement prévoit en effet des sanctions financières pouvant aller jusqu’à 4 % du chiffre d’affaires mondial ou à 20 millions d’euros (selon le montant le plus élevé). Dans le cas de TalkTalk, l’amende se serait ainsi élevée à environ 73 millions de livres, soit à peu près l’équivalent des bénéfices réalisés par l’opérateur au cours du dernier exercice.
7- Le règlement général européen sur la protection des données impose des obligations d’information
Le règlement général sur la protection des données impose la notification de chaque incident de perte de données non cryptées. Toute entreprise victime d’une perte de données, par sa faute ou celle d’un tiers, disposera ainsi de 72 heures pour en aviser les autorités de réglementation et les personnes concernées « dans les plus brefs délais ». Être en mesure d’enquêter sur les activités de transfert de données et de surveiller l’usage du Cloud constituera donc un enjeu essentiel.
8- La cybersécurité relève du conseil d’administration
S’il faut retenir une leçon de la violation dont TalkTalk a été victime, c’est que les données représentent aujourd’hui le bien le plus précieux des entreprises. Elles les aident à accroître leurs ventes et contribuent à leur croissance. Leur mauvaise gestion peut cependant entraîner de lourdes sanctions financières, voire la cessation d’activité. Aussi doivent-elles être traitées avec le plus grand respect, ce qui signifie que la question de la cybersécurité doit désormais engager la réflexion du conseil d’administration. Elle a trop longtemps relevé de la responsabilité exclusive du département informatique. Compte tenu de l’étendue des vulnérabilités potentielles auxquelles les entreprises sont exposées, il est temps que l’entreprise, dans son ensemble, participe à cette démarche.
Guide du RSSI de demain, la rédaction d’Alliancy, le mag a mené l’enquête !
|