{"id":665,"date":"2015-10-06T00:17:13","date_gmt":"2015-10-05T23:17:13","guid":{"rendered":"http:\/\/www.ab-consulting.fr\/blog\/?p=665"},"modified":"2015-10-06T18:54:07","modified_gmt":"2015-10-06T17:54:07","slug":"cyber-attaque-t-mobile","status":"publish","type":"post","link":"https:\/\/www.ab-consulting.fr\/blog\/securite\/cyber-attaque-t-mobile","title":{"rendered":"Un op\u00e9rateur mobile victime d’une cyber-attaque"},"content":{"rendered":"

Environ 15 millions de personnes qui se sont abonn\u00e9es dans les trois derni\u00e8res ann\u00e9es aux services sans fil de T-Mobile, quatri\u00e8me op\u00e9rateur de t\u00e9l\u00e9phonie mobile des Etats Unis avec 25 millions d’abonn\u00e9s, ont sans doute\u00a0\u00e9t\u00e9 victimes du vol de leurs informations personnelles suite \u00e0 une cyber-attaque r\u00e9ussie\u00a0contre l\u2019un de ses fournisseurs, en l\u2019occurrence Experian<\/strong>, qui est charg\u00e9 d\u2019\u00e9valuer la solvabilit\u00e9 des abonn\u00e9s de l\u2019op\u00e9rateur aux \u00c9tats-Unis.\u00a0<\/em><\/p>\n

\"cyber-attaque<\/a><\/p>\n

Trustev, la start-up irlandaise sp\u00e9cialis\u00e9e dans la pr\u00e9vention des fraudes, a signal\u00e9 la pr\u00e9sence sur le Dark Web de lots de donn\u00e9es qui pourraient provenir\u00a0de ce piratage. Et ce,\u00a0seulement 24 heures\u00a0apr\u00e8s la confirmation par Experian<\/a>, le 1er octobre,\u00a0 du piratage de donn\u00e9es personnelles des clients de T-Mobile ayant sign\u00e9\u00a0un contrat avec l\u2019op\u00e9rateur entre le 1er septembre 2013 et le 16 septembre 2015, soit environ 15 millions d’abonn\u00e9s..<\/p>\n

La cyber-attaque contre T-Mobile<\/strong><\/h2>\n

Selon un courrier\u00a0de John Legere, PDG de T-Mobile, les donn\u00e9es vol\u00e9es comprennent:<\/p>\n

    \n
  • les noms, adresses, dates de naissance et num\u00e9ros de t\u00e9l\u00e9phone des abonn\u00e9s,<\/li>\n
  • leurs num\u00e9ros de s\u00e9curit\u00e9 sociale \u00ab\u00a0crypt\u00e9s\u00a0\u00bb et d’autres num\u00e9ros d’identit\u00e9 (tels que num\u00e9ros \u00a0passeport ou de permis de conduire),<\/li>\n
  • \u00abdes informations suppl\u00e9mentaires utilis\u00e9es pour leur\u00a0\u00e9valuation de solvabilit\u00e9\u00a0pour T-Mobile\u00a0\u00bb<\/li>\n<\/ul>\n

    Aucune information\u00a0de paiement telle\u00a0que\u00a0les num\u00e9ros de\u00a0carte de cr\u00e9dit ou de cartes de d\u00e9bit n’aurait\u00a0\u00e9t\u00e9 d\u00e9rob\u00e9e\u00a0par les pirates, ce qui n’est cependant pas tr\u00e8s r\u00e9confortant d’autant que, selon T-Mobile, bien que les num\u00e9ros de s\u00e9curit\u00e9 sociale\u00a0et d’autres num\u00e9ros d’identification aient\u00a0\u00e9t\u00e9 crypt\u00e9s, il est \u00e0 craindre\u00a0que\u00a0le cryptage ait \u00e9t\u00e9 d\u00e9cod\u00e9 par les pirates.<\/p>\n

    Les num\u00e9ros de s\u00e9curit\u00e9 sociale\u00a0d\u00e9rob\u00e9s, combin\u00e9s\u00a0avec les autres donn\u00e9es d’identification telles que\u00a0les noms et adresses, peuvent permettre de nombreux\u00a0types de vol d’identit\u00e9.<\/p>\n

    Un escroc pourrait les utiliser pour ouvrir un\u00a0compte carte de cr\u00e9dit, demander des pr\u00eats bancaires pour les articles comme des\u00a0voitures par exemple, ou m\u00eame faire de fausses d\u00e9clarations fiscales en votre nom.<\/p>\n

    T-Mobile et Experian ont confirm\u00e9 que le vol des donn\u00e9es\u00a0\u00e9tait un r\u00e9sultat de l’acc\u00e8s non autoris\u00e9 \u00e0 un serveur d’Experian sur lequel\u00a0les donn\u00e9es des clients de T-Mobile \u00e9taient stock\u00e9es.<\/p>\n

    Le site de l\u2019op\u00e9rateur a ouvert une page pour informer les personnes concern\u00e9es des mesures prises. T-Mobile offre un abonnement gratuit de deux ans au service de suivi de cr\u00e9dit et de restauration d’identit\u00e9 ProtectMyID<\/strong> \u00e0 toute victime potentielle du piratage. Mais, ironie de la situation, ProtectMyID est\u00a0une division d\u2019Experian et la proposition de John Legere a fait l\u2019objet de vives attaques sur Twitter. \u00ab\u00a0Experian comme service de protection\u2026 J\u2019ai entendu votre message. Je me mets tr\u00e8s rapidement en qu\u00eate d\u2019une autre option pour demain\u00a0\u00bb, a tweet\u00e9 John Legere jeudi apr\u00e8s-midi, en pr\u00e9cisant que \u00ab\u00a0l’autre option serait \u00e9galement gratuite\u00a0\u00bb.<\/p>\n

    Les fournisseurs externes : cibles id\u00e9ales pour une cyber-attaque<\/h2>\n

    Les fournisseurs externes et sous-traitants\u00a0sont devenus une cible attrayante et payante pour les pirates, car ils constituent\u00a0un moyen facile d’acc\u00e9der aux entreprises, surtout aux\u00a0grandes organisations. Certains des plus gros\u00a0vols de donn\u00e9es de ces\u00a0derni\u00e8res ann\u00e9es – y compris ceux concernant Target et Home Depot aux USA – n’ont \u00e9t\u00e9 possibles\u00a0qu’en raison de la s\u00e9curit\u00e9 insuffisante\u00a0des\u00a0fournisseurs.<\/p>\n

    Aujourd’hui, il n’y a quasiment\u00a0aucune organisation qui ne repose pas sur des\u00a0fournisseurs. Il est donc essentiel que le management des entreprises\u00a0devienne plus rigoureux avec leurs\u00a0partenaires commerciaux en ce qui concerne l’assurance des risques de l’information. Si les fournisseurs doivent\u00a0avoir acc\u00e8s aux donn\u00e9es d’une entreprise, il est essentiel qu’ils soient\u00a0soumis au minimum\u00a0au m\u00eame niveau de s\u00e9curit\u00e9 que la soci\u00e9t\u00e9 qui a recours \u00e0\u00a0leurs services.<\/p>\n

    \n

    Vous assurer que vos fournisseurs – qu’ils soient\u00a0sous-traitant informatique, avocat, comptable, banque ou, dans le\u00a0cas de T-Mobile, une agence d’\u00e9valuation de solvabilit\u00e9\u00a0– applique strictement de\u00a0robustes pratiques de s\u00e9curit\u00e9 de l’information est un imp\u00e9ratif\u00a0dans le climat technologique \u00e0 haut risque actuel. Il est vital\u00a0que tous vos fournisseurs disposent d’un cadre de cybers\u00e9curit\u00e9 clair, parfaitement\u00a0d\u00e9fini et bien en place, autant dans votre int\u00e9r\u00eat que dans le leur.<\/em><\/p>\n<\/blockquote>\n

    Comment s\u00e9curiser la totalit\u00e9 de la cha\u00eene?<\/strong><\/h2>\n

    ISO 27001,\u00a0la norme internationale reconnue mondialement d\u00e9crit les exigences\u00a0pour un syst\u00e8me de management\u00a0de la s\u00e9curit\u00e9 de l’information (SMSI), et la certification ISO 27001 d’une organisation\u00a0d\u00e9montre qu’une entreprise\u00a0applique les meilleures pratiques internationales en mati\u00e8re de s\u00e9curit\u00e9 de l’information.<\/p>\n

    Par cons\u00e9quent, exiger de vos fournisseurs et sous-traitants ayant un acc\u00e8s \u00e0 vos donn\u00e9es qu’ils soient certifi\u00e9s ISO 27001 devrait\u00a0constituer un pr\u00e9-requis de tout\u00a0appel d’offres. Bien s\u00fbr le nombre de fournisseurs potentiels risque d’\u00eatre plus r\u00e9duit et sans doute les co\u00fbts seront plus \u00e9lev\u00e9s, mais il vous appartient de mesurer le risque encouru en cas de cyber-attaque sur votre fournisseur qui pourrait par rebond compromettre vos donn\u00e9es.<\/p>\n

    Les impacts peuvent \u00eatre colossaux notamment en mati\u00e8re de perte de r\u00e9putation et d’image, de perte de client\u00e8le ou m\u00eame de chute de vos actions si vous \u00eates cot\u00e9s en bourse. Souvenez-vous sur les douze derniers mois,\u00a0les cyber-attaques ont co\u00fbt\u00e9 globalement plus de 400 milliards d’euros (soit environ de 262 millions de milliards en\u00a0FCFA !!!) aux entreprises dans le monde. A titre d’exemple, on estime que l’attaque perp\u00e9tr\u00e9e cette ann\u00e9e sur TV5 Monde aurait d\u00e9j\u00e0 co\u00fbt\u00e9 \u00e0 la cha\u00eene de t\u00e9l\u00e9vision Fran\u00e7aise une\u00a0coquette somme de l’ordre\u00a0de 4 \u00e0 5\u00a0millions d’Euros.<\/p>\n

    Mais la cyber-s\u00e9curit\u00e9 qui vise \u00e0 pr\u00e9venir les menaces\u00a0et \u00e0 les d\u00e9tecter n’est pas suffisante car il faut aussi pr\u00e9parer l’organisation, en cas d’attaque r\u00e9ussie, \u00e0 se remettre rapidement des dommages subis. Un cadre de cyber r\u00e9silience tel que RESILIA, r\u00e9cemment publi\u00e9 par AXELOS, viendra ad\u00e9quatement compl\u00e9ter une certification ISO 27001.<\/p>\n

    Dans tous les cas, une sensibilisation de l’ensemble du personnel de l’Entreprise sera indispensable\u00a0car la d\u00e9cision de certifier une organisation contre les cyber-risques en impl\u00e9mentant un Syst\u00e8me de Management de la S\u00e9curit\u00e9 de l’Information bas\u00e9 sur ISO 27001 rel\u00e8ve d’une d\u00e9cision de Gouvernance qui est du ressort du Conseil d’Administration, repr\u00e9sentant les parties-prenantes de l’Entreprise et seul \u00e0 m\u00eame de donner la direction.<\/p>\n

    La strat\u00e9gie de protection et de cyber-r\u00e9silience rel\u00e8ve pour sa part du Comit\u00e9 de Direction qui d\u00e9finit les strat\u00e9gies de l’Entreprise, est responsable des politiques et de la planification.<\/p>\n

    La r\u00e9alisation des strat\u00e9gies consistant pour la s\u00e9curit\u00e9 et la r\u00e9silience, \u00e0 impl\u00e9menter et am\u00e9liorer un SMSI, \u00e0 pr\u00e9parer une certification ISO 27001 et \u00e0 sensibiliser et former l’ensemble du personnel aux bonnes pratiques de s\u00e9curit\u00e9 de l’information et \u00e0 la cyber-r\u00e9silience constituera la responsabilit\u00e9 de tous les niveaux de management.<\/p>\n

    Il s’agit donc d’un approche top-down qui couvre la totalit\u00e9 de l’organisation et pas seulement, comme je l’entend trop souvent dans les Enterprises, le d\u00e9partement informatique qui, s’il est bien s\u00fbr impliqu\u00e9 pour les aspects techniques, le sera d’une fa\u00e7on sans doute moins importante que d\u00e9partement des ressources humaines, car la s\u00e9curit\u00e9 ne peut pas s’abriter derri\u00e8re la technologie. C’est d’abord une responsabilit\u00e9 primordiale des individus.<\/p>\n

    Pour plus d’informations ou pour vous abonner \u00e0 notre newsletter, merci de compl\u00e9ter le formulaire de contact :<\/strong><\/em><\/p>\n

    \n
    \n