Okta resserre l'étau sur ses sous-traitants après l'incident de janvier
En plus de rompre les relations avec le sous-traitant par le biais duquel il a été attaqué en janvier, Okta durcit ses procédures d'audit et de gestion.
Okta et Sitel, c'est terminé. La relation contractuelle n'a pas survécu à l'incident de sécurité survenu en début d'année. Le premier avait été ciblé par l'intermédiaire du second.
Contrôlé par la famille Mulliez, le groupe multinational Sitel avait acquis, en 2021, la société Sykes. C'est elle qui fournissait des prestations de support aux clients d'Okta. Le poste d'un de ses employés a fait l'objet d'un piratage. L'opération s'est déroulée entre le 16 et le 21 janvier. Conséquence : des accès indésirables à un outil d'administration.
Le premier bilan communiqué faisait état de 366 clients potentiellement affectés. Désormais que l'enquête a abouti, Okta a revu ce bilan à la baisse. Il est désormais question de deux clients effectivement touchés - au sens où les pirates ont pu accéder à leur locataire Okta et à des informations issues d'autres applications comme Slack et Jira. Le contrôle effectif du poste attaqué aura duré 25 minutes.
Dans ce contexte, Okta s'engage à renforcer les procédures d'audit de ses sous-traitants. Il explique, sans plus de détail, son intention d'« exiger d'eux qu'ils adoptent le zero trust ». Et qu'ils s'authentifient, sur toutes les applications de leurs espaces de travail, via l'IADM d'Okta.
Autre engagement : Okta gérera désormais directement les appareils des tiers qui accèdent à ses outils de support client. Une question de visibilité, de réduction des temps de réponse et de capacité à mieux estimer l'impact des incidents, affirme le fournisseur américain.
Pour davantage de contexte sur cet épisode, consulter :
- Okta engagé dans une bataille de com avec des cybercriminels (23 mars)
- Okta a-t-il suffisamment audité son sous-traitant Sitel ? (25 mars)
- Sitel apporte un démenti dan l'affaire Okta (31 mars)
Photo d'illustration ©
Sur le même thème
Voir tous les articles Cybersécurité