Note de la rédaction : Cet article est le deuxième d'une série consacrée aux causes et aux conséquences des violations de données très médiatisées impliquant des tiers au cours de la dernière décennie. Ne manquez pas les prochains articles de cette série sur le blog Risk Register !
En 2013, des pirates ont utilisé l'accès d'un fournisseur tiers pour compromettre le réseau de Target et voler des informations sensibles sur les clients. Ce blog passe en revue le contexte de la violation de Target, les méthodes utilisées par les pirates, ce qu'il est advenu des données, l'impact de la violation sur Target et les enseignements que les professionnels de la gestion des risques liés aux tiers tirent encore aujourd'hui de cette violation.
Historique de la violation de données
Pendant la période des fêtes de fin d'année 2013, des pirates informatiques ont infiltré le réseau de Target et compromis les informations bancaires de 70 millions de clients. Les pirates ont volé des données telles que les noms complets, les numéros de téléphone, les adresses e-mail, les numéros de cartes de paiement et les codes de vérification des cartes de crédit, soit le Saint Graal des informations personnelles identifiables !
Méthodes utilisées
Les pirates ont utilisé une attaque de spear phishing contre Fazio Mechanical Services, une société tierce spécialisée dans les systèmes de chauffage, ventilation et climatisation (CVC) travaillant pour Target, afin de voler les identifiants des utilisateurs. Ils ont ensuite utilisé ces identifiants pour accéder au réseau d'entreprise de Target et installer des logiciels malveillants sur les terminaux de point de vente (TPV) de Target. Les logiciels malveillants installés ont collecté des données sensibles sur les clients entre novembre et décembre 2013.
Qu'est-il advenu des données ?
Les informations relatives aux cartes de crédit volées ont ensuite été retrouvées en vente sur le dark web. Cependant, on ignore si les vendeurs étaient les auteurs du crime.
Comment la violation a affecté Target
Comme la violation a été révélée pendant la période de Noël, une période cruciale pour les détaillants, Target a subi d'importantes pertes financières. Les bénéfices de l'entreprise ont chuté de près de 50 % au quatrième trimestre 2013 par rapport à l'année précédente et le cours de son action a baissé de 9 % au cours des deux mois qui ont suivi la révélation de la violation. De plus, Target a réglé un recours collectif de 10 millions de dollars en 2015 et a acceptéde verser jusqu'à 10 000 dollars aux clients qui ont subi des pertes à la suite de la violation de données. Et en 2017, Target a versé 18,5 millions de dollars supplémentaires dans le cadre de règlements à l'amiable.
De plus, la publicité négative généralisée a nui à la réputation de Target et a attiré une attention indésirable. Le ministère de la Justice a ouvert une enquête en 2014, et les législateurs ont fait pression sur les régulateurs fédéraux pour qu'ils examinent cette violation. En 2014, plusieurs commissions sénatoriales ont utilisé cette violation comme argument pour justifier l'adoption de réglementations potentielles en matière de sécurité des données. Dans le cadre de l'accord conclu en 2017, Target a été contraint de se conformer aux meilleures pratiques commerciales publiées par le ministère de la Justice de Californie dans les rapports sur les violations de données du procureur général de Californie.
Ce que les professionnels de la gestion des risques liés aux tiers peuvent apprendre de la violation de données chez Target
Bien que les professionnels de la gestion des risques puissent tirer de nombreux enseignements de la violation de données subie par Target, cette affaire illustre parfaitement la nécessité de mener une évaluation approfondie basée sur les contrôles internes, en particulier dans deux domaines : la gestion des identités et des accès, ainsi que la formation et la sensibilisation des utilisateurs. Et même si l'évaluation en elle-même n'aurait pas garanti que la violation ne se produirait pas, la visibilité sur le manque de contrôle interne de ces processus de sécurité critiques aurait mis en lumière ce qui allait devenir des faiblesses importantes.
Prevalent se distingue par le fait que nous combinons ces évaluations automatisées des fournisseurs avec une surveillance continue des menaces au sein d'une plateforme unique, offrant ainsi une vue à 360 degrés des fournisseurs. Il en résulte la visibilité dont vous avez besoin pour révéler, interpréter et atténuer les risques.
N'oubliez pas que le fait d'externaliser des fonctions critiques à un tiers ne signifie pas pour autant que vous externalisez les risques. Vous en êtes responsable et vous devez les gérer en conséquence. Si vous ne le faites pas, vous devez vous préparer à faire face à des recours collectifs, à une atteinte à votre réputation et à votre image de marque, ainsi qu'à des pertes financières.
Pour en savoir plus sur la manière dont Prevalent peut aider votre organisation à mettre en place ou à perfectionner son programme de gestion des risques liés aux tiers et à mieux cerner les faiblesses de ces derniers, contactez-nous dès aujourd'hui.
Note de la rédaction : Ce billet a été publié à l'origine sur Prevalent.net. En octobre 2024, Mitratech a acquis l'entreprise Prevalent, spécialisée dans la gestion des risques pour les tiers et dotée d'une intelligence artificielle. Le contenu a depuis été mis à jour pour inclure des informations alignées sur nos offres de produits, les changements réglementaires et la conformité.
