9 Leçons à retenir de la compromission de données Equifax

En septembre 2017, Equifax a annoncé avoir été victime d’une attaque avec à la clé la compromission de plus de 145 millions de dossiers de consommateurs américains. Des millions d’autres dossiers de citoyens britanniques et canadiens ont aussi été compromis.

Les compromissions impliquant des cartes bancaires peuvent avoir des effets dévastateurs mais les cartes bancaires ont une durée de vie limitée. Dès qu’une ou plusieurs cartes sont compromises, il suffit de fermer le(s) compte(s) pour endiguer l’épidémie.

Dans le cas d’Equifax, la compromission s’est avérée particulièrement dévastatrice, en ceci que les informations dérobées ont une durée de vie très longue. Les informations personnelles, comme le nom d’une personne, sa date de naissance, son numéro de sécurité sociale, son adresse e-mail et plus encore demeurent exploitables des dizaines d’années.

Certes, plusieurs failles de la sécurité de l’information ont été constatées chez Equifax, mais voici 9 erreurs fondamentales qui ont mené à cette calamité :

  • Infrastructure et stratégie de sécurité inefficaces
  • Mauvaise gestion des correctifs
  • Absence de programme de gestion de certificat
  • Mauvaise préparation de la notification de compromission
  • Systèmes préexistants comportant de graves problèmes de sécurité
  • Structure de gestion IT inefficace
  • Piètres règles de sécurité de l’information
  • Absence d’inventaire logiciel
  • Défaut de conformité PCI d’une application critique

Si Equifax avait simplement mis en œuvre et appliqué à la lettre une politique efficace de gestion des correctifs, la compromission de données de 2017 aurait pu être évitée. Le fait de ne pas avoir déployé de correctif pour une vulnérabilité critique connue dans Apache Struts a exposé un système critique à des risques pendant 145 jours. Autrement dit, pendant 5 mois, les cyber-agresseurs ont eu toute latitude pour régner sur l’une des plus importantes bases de données de consommateurs de la planète.

Equifax a dépensé plus de 300 millions de dollars pour se remettre de la compromission, dont 75 millions seulement couverts par les assurances. Si Equifax avait investi un peu de cet argent dans l’amélioration de sa sécurité de l’information (gestion des vulnérabilités etc.), l’entreprise ne serait pas devenue un exemple de mauvaise sécurité des données.

Le cœur de la défaillance d’Equifax réside dans la négligence à mettre en œuvre un programme adéquat de gouvernance de l’information pour protéger ses données sensibles. Ce qu’Equifax doit retenir, c’est que la compromission était parfaitement évitable.

Ce n’est qu’en prenant la sécurité de l’information au sérieux et en nommant un CISO en lui allouant suffisamment de ressources et de budget que les entreprises peuvent raisonnablement espérer éviter le sort d’Equifax. Sinon, il faut s’attendre à une manifestation de ce que Gene Spafford, professeur américain d'informatique à l'Université Purdue, a baptisé la loi de Spaf, selon laquelle "si vous occupez un poste dans une entreprise qui inclut la responsabilité de la sécurité, mais sans l’autorité correspondante, alors votre rôle dans l’entreprise consistera à être blâmé si quelque chose se produit."