Tribune Gérôme Billois : Target : que retenir de ce hold-up numérique ?
Expert sécurité au Cercle européen de la sécurité et des systèmes d’information, Gérôme Billois revient sur la cyber-attaque qui a visé l’enseigne de grande distribution aux Etats-Unis. Un cas similaire en France n’est pas exclu.
Les révélations sur les attaques ayant visé le troisième groupe de grande distribution Target ont marqué les esprits. Comment une telle propagation de données personnelles (entre 70 et 110 millions de clients concernés) a pu se produire ? Sachant que d’autres enseignes comme Neiman Marcus ont également été affectées. Les chiffres les plus fous circulent actuellement : 30% de la population des Etats-Unis aurait vu ses données personnelles compromises.
Gérôme Billois, expert sécurité au Cercle européen de la sécurité et des systèmes d’information, revient notamment cette affaire de pertes massives de données personnelles en sept questions-clé :
Pourquoi ces attaques ?
Parce que les données personnelles et de paiement valent aujourd’hui de l’argent. Un enregistrement client (nom, prénom, adresse…) se revend autour de 25 centimes de dollar. Les prix s’envolent pour les numéros de carte bancaire. Celles volées chez Target s’échangent entre 20 et 130 dollars suivant leur origine. Les cyber-criminels gagnent de l’argent avec ces attaques et parfois beaucoup, pour l’affaire Target, on parle de plusieurs dizaines de millions de dollars.
Comment ces attaques ont-elles été réalisées ?
Tous les détails ne sont pas encore connus mais le mode opératoire est simple et souvent rencontré. Les cyber-criminels se sont probablement introduits sur le réseau interne en envoyant des e-mails piégés à certains collaborateurs ou sous-traitants. Ils ont ensuite pu déployer des logiciels malveillants sur les terminaux de paiements. Ceux-ci ont « écouté » les données transitant lors des paiements réalisés par les clients. À ce moment, les attaquants ont dû en profiter pour étendre leur recherche sur le réseau et voler les bases de données clients.
Ces attaques sont-elles préméditées ?
Oui, clairement, nous ne sommes plus dans l’époque où des virus frappaient sans cible déterminée. Cette attaque a été planifiée en particulier car elle a été déclenchée pendant le week-end de Thanksgiving, période d’activité commerciale maximum aux Etats-Unis. Elle montre la détermination des cyber-criminels à réaliser le maximum de gain.
Les entreprises peuvent-elles se protéger ?
Oui, les moyens pour se protéger d’attaques de cybercriminels existent. Autant lutter contre des services de renseignement comme la NSA est complexe, autant les cybercriminels « classiques » utilisent des méthodes d’attaques connues et maîtrisables. Il s’agit souvent d’appliquer les bonnes pratiques : maintien à jour des systèmes, mise en place de solutions de lutte contre les malware, surveillance du système d’information ou encore cloisonnement des systèmes les plus critiques.
Mais alors, pourquoi ces attaques se produisent quand même ?
Il y a de multiples réponses à cette question, mais un des facteurs principaux est que les systèmes métiers (comme les terminaux de paiements, les distributeurs de billets, les bornes de paiements, les systèmes industriels…) sont trop souvent « oubliés » lors de la mise en place des mesures de sécurité. Les responsables sécurité ne sont pas tenus informés par les équipes métiers des projets et les bonnes pratiques ne sont pas mises en place sur des équipements, certes particuliers, mais qui doivent être protégés. Le support de la direction générale est essentiel pour faire appliquer les mesures de sécurité sur tous les périmètres de l’entreprise sans exception.
Quels vont être les impacts pour Target ? Peuvent-ils faire jouer des assurances ?
Les conséquences pour Target sont majeures, les actionnaires ont déjà été prévenus : les ventes ont chuté de 2 à 6% suite à l’attaque, le bénéfice par action va perdre 30% ! Leur P-DG a été poussé à réaliser une interview diffusée sur CNBC au Etats-Unis. Les canaux de communication client comme les call-centers sont dépassés par les appels reçus et impactent également les ventes.
N’oublions pas que les coûts liés à l’incident sont des multiples du nombre de clients touchés. Suivant les cas, on parle d’une somme variant entre 20 dollars et 200 dollars par client. Dans le cas de Target, on devrait donc dépasser largement le milliard de dollars ! Et aujourd’hui, les produits de cyber-assurance standards ne permettent pas de couvrir des pertes si importantes. En France, les plafonds se situent autour de 200 millions d’euros.
Comment faire pour éviter que de telles attaques se produisent en France ?
Clairement des attaques de ce type peuvent se produire en France. Il est nécessaire que toutes les organisations qui manipulent des données à caractère personnel ou des données de paiement mettent en place des programmes de sécurité complets mais surtout appliqués sur l’ensemble des périmètres. Les responsables sécurité doivent toujours étendre leur champ d’action, en particulier en visant les systèmes métiers spécifiques. Pour cela, il faut parfois « forcer la porte » et se faire entendre.
Au-delà de la protection, il est aussi nécessaire de se préparer à gérer ce type de crise en ayant réalisé des exercices en grandeur réelle. Espérons que l’attaque sur Target soit un révélateur pour les directions générales et les responsables métiers d’autres grandes organisations et que la situation rencontrée fasse progresser la sécurité dans son ensemble.
Une tribune signée de Gérôme Billois, expert sécurité au Cercle européen de la sécurité et des systèmes d’information (janvier 2014)