Dans le monde entier, le nombre de cyberattaques n'a cessé d'augmenter au cours des cinq dernières années. Beaucoup ont entrainé des fuites de données à caractère personnel. Un renforcement de la politique de sécurité est indispensable pour renforcer son image de marque et respecter le RGPD.
En 2018, de nombreuses fuites de données ont concerné des acteurs importants de l’IT ou des grands comptes. Examinons de plus près ces violations et les leçons que nous pouvons en tirer.
En septembre dernier, le réseau social a annoncé la plus importante fuite de données qu’il n’ait jamais connue depuis sa création. Elle résulte de multiples bugs liés à l'une de ses fonctionnalités. Résultat, les informations d’environ 50 millions d'utilisateurs ont été compromises. Les pirates ont également eu accès à une pléthore d'autres plates-formes (Instagram, Airbnb, Spotify, etc.) qui permettent aux utilisateurs de se connecter en utilisant leur compte Facebook.
La leçon à retenir : même un grand acteur comme Facebook, doté de capacités d'ingénierie et de sécurité élevées, a du mal à sécuriser complètement sa plate-forme mondiale. Ainsi, les petites entreprises n’ont aucune chance si elles ne prennent pas de mesures préventives.
Exactis
Cette société de marketing et d'agrégation de données avait laissé 2 To de données sur un serveur dans un cloud et accessible au public. Plus de 400 variables de données sur les caractéristiques d’internautes ont été récupérées.
La leçon à retenir : une attitude laxiste à l'égard de la cybersécurité est inacceptable. Cette fuite de données résulte de l'absence d'un système de gestion des comptes et d'une politique d'autorisation des accès.
Marriott International
La base de données des réservations d'invités de Marriott et de sa filiale Starwood a été piratée et des informations sensibles concernant 500 millions de clients de la chaîne hôtelière internationale ont fuité.
La faille, découverte fin novembre, résulte de solutions de sécurité inadéquates. Même si les données étaient chiffrées, les pirates ont trouvé le moyen de les « décrypter » en volant les clés d'accès.
La leçon à retenir : Ce n'est pas la première fois que ce groupe fait face à une atteinte à la protection des données. Il est donc consternant que des mesures de sécurité adéquates n'aient pas été mises en place…
Panera Bread
En avril dernier, les dossiers d’environ 37 millions clients directs ou indirects de Panera Bread (une chaine américaine de boulangeries et de cafés) étaient accessibles en clair : nom, prénom, e-mail, numéro de téléphone, anniversaire, quatre derniers chiffres du numéro de carte de crédit enregistré, préférences alimentaires enregistrées et restrictions nutritionnelles. L’origine de cette fuite de données qui a duré au moins huit mois ? Une faille dans une API qui ne nécessitait pas d’authentification.
La leçon à retenir : On ne saurait trop insister sur l'importance de tests d’intrusion et de vulnérabilités. Les organisations doivent être prêtes à travailler avec des experts qui divulguent de manière responsable les failles de sécurité (ou bug bounty). Cela montrera que l’entreprise se soucie des données et de la sécurité de ses clients.
Delta Airline et Sears Holding Corporation
Les deux organisations exploitent une solution d'IA tierce pour le support du chat en ligne. Début 2018, ils ont annoncé que les renseignements sur les cartes de crédit de près de 100 000 de leurs clients auraient pu être compromis en raison d'une atteinte à la protection des données.
La leçon à retenir : la cybersécurité de votre organisation ne vaut que par la sécurité de vos partenaires. Les failles dans leur SI auront un impact direct sur vos clients et votre image de marque. Sans parler de la conformité avec le RGPD…
Quelles que soient la taille et l’activité d’une entreprise, il est indispensable de renforcer la sécurité des données, en particulier celles qui sont confidentielles et à caractère personnel.
Source : YourStory