7 questions pour mieux comprendre le hold-up numérique de Target
C'est LE scandale majeur de ce début d'année en matière de sécurité outre Atlantique. Sous la pression des révélations de la presse, la chaîne de magasins Target a dû admettre s'être fait dérober plus de 40 millions de numéros de cartes de crédit et de débit ainsi que plus de 70 millions d'informations personnelles relatives à ses clients (noms, e-mails, adresses, numéros de téléphone). Une attaque sur laquelle enquêtent les autorités américaines et qui s'étendrait à d'autres distributeurs américains (Neiman Marcus a déjà admis avoir été hacké).
Gérôme Billois, expert sécurité au Cercle européen de la sécurité et des systèmes d'information et senior manager en gestion des risques et sécurité chez Solucom, revient sur cette affaire et ses enjeux, à travers cet avis d'expert découpé en 7 questions clefs.
1) Pourquoi ces attaques ?
Lire aussi : Sécurisation des identifiants et protection contre les attaques par déplacement latéral
Parce que les données personnelles et de paiement valent aujourd'hui de l'argent. Un enregistrement client (nom, prénom, adresse.) se revend autour de 25 centimes de dollars. Les prix s'envolent pour les numéros de carte bancaire. Celles volées chez Target s'échangent entre 20 et 130$ suivant leur origine. Les cybercriminels gagnent de l'argent avec ces attaques et parfois beaucoup. Pour l'affaire Target, on parle de plusieurs dizaines de millions de dollars.
2) Comment ces attaques ont-elles été réalisées ?
Tous les détails ne sont pas encore connus mais le mode opératoire est simple et souvent rencontré. Les cybercriminels se sont probablement introduits sur le réseau interne en envoyant des e-mails piégés à certains collaborateurs ou sous-traitants. Ils ont ensuite pu déployer des logiciels malveillants sur les terminaux de paiements. Ceux-ci ont « écouté » les données transitant lors des paiements réalisés par les clients. À ce moment, les attaquants ont dû en profiter pour étendre leur recherche sur le réseau et voler les bases de données clients.
3) Ces attaques sont-elles préméditées ?
Oui, clairement, nous ne sommes plus à l'époque où des virus frappaient sans cible déterminée. Cette attaque a été planifiée, en particulier car elle a été déclenchée pendant le week-end de Thanksgiving, période d'activité commerciale maximum aux Etats-Unis. Elle montre la détermination des cybercriminels à réaliser le maximum de gain.
4) Les entreprises peuvent-elles se protéger ?
Oui, les moyens pour se protéger d'attaques de cybercriminels existent. Autant lutter contre des services de renseignement comme la NSA est complexe, autant les cybercriminels « classiques » utilisent des méthodes d'attaques connues et maîtrisables. Il s'agit souvent d'appliquer les bonnes pratiques : maintien à jour des systèmes, mise en place de solutions de lutte contre les malwares, surveillance du système d'information ou encore cloisonnement des systèmes les plus critiques.
5) Pourquoi ces attaques ont-elles malgré tout lieu ?
Il y a de multiples réponses à cette question, mais un des facteurs principaux est que les systèmes « métiers » (comme les terminaux de paiements, les distributeurs de billets, les bornes de paiements, les systèmes industriels.) sont trop souvent « oubliés » lors de la mise en place des mesures de sécurité. Les responsables sécurité ne sont pas tenus informés par les équipes métiers des projets et les bonnes pratiques ne sont pas mises en place sur des équipements, certes particuliers, mais qui doivent aussi être protégés. Le support de la direction générale est essentiel pour faire appliquer les mesures de sécurité sur tous les périmètres de l'entreprise sans exception.
6) Quels vont être les impacts pour Target ? Peuvent-ils faire jouer des assurances ?
Les conséquences pour Target sont majeures. Les actionnaires ont déjà été prévenus : les ventes ont chuté de 2 à 6% suite à l'attaque, le bénéfice par action va perdre 30% ! Le Pdg a été poussé à réaliser une interview diffusée sur CNBC aux Etats-Unis. Les canaux de communication client comme les call-centers sont dépassés par les appels reçus, saturation qui impacte également les ventes.
N'oublions pas que les coûts liés à l'incident sont des multiples du nombre de clients touchés. Suivant les cas, on parle d'une somme variant entre 20$ et 200$ par client. Dans le cas de Target, on devrait donc dépasser largement le milliard de dollars ! Et aujourd'hui, les produits de cyberassurance standards ne permettent pas de couvrir des pertes aussi importantes. En France, les plafonds se situent autour de 200 millions d'euros.
7) Comment faire pour éviter de telles attaques en France ?
Clairement des attaques de ce type peuvent se produire en France. Il est nécessaire que toutes les organisations qui manipulent des données à caractère personnel ou des données de paiement mettent en place des programmes sécurité complets, mais surtout appliqués sur l'ensemble des périmètres. Les responsables sécurité doivent toujours étendre leur champ d'action, en particulier en visant les systèmes métiers spécifiques. Pour cela, il faut parfois « forcer la porte » et se faire entendre. Au-delà de la protection, il est aussi nécessaire de se préparer à gérer ce type de crise en ayant réalisé des exercices en grandeur réelle.
Voir aussi
Silicon.fr étend son site dédié à l'emploi IT
Silicon.fr en direct sur les smartphones et tablettes
Sur le même thème
Voir tous les articles Workspace