Vol massif de données – USA : démission de la directrice de l’OPM, renforcement de la sécurité IT
Du jamais vu dans l’administration fédérale : des données de 21,5 millions d’Américains ont été volées dans le système d’information de l’Office of Personnel Management (OPM).
C’est la conséquence du plus important vol de données que l’administration américaine vient de subir : Katherine Archuleta, Directrice de l’agence fédérale américaine OPM, a donné sa démission le vendredi 10 juillet.
Ce prompt départ intervient juste après la publication d’élément tirés d’un rapport édifiant qui montre l’étendue des dégâts en lien avec la découverte en mai d’un vol massif de données personnelles de millions de personnes survenues dans le système d’information de l’Office of Personnel Management.
Qui est concerné ? Les millions de fonctionnaires ou de personnes ayant eu des relations avec cet organisme chargé de la gestion des ressources humaines dans la fonction publique dans un processus de recrutement.
Depuis fin 2013, après une première série de mesures qui visait à améliorer la sécurité IT, l’OPM a détecté deux intrusions. Si le premier assaut repéré portait déjà sur 4,2 millions de fonctionnaires, le deuxième cas est encore plus préoccupant.
Des données personnelles – parfois sensibles – de 21,5 millions d’Américains, stockées dans des bases de données de l’Office of Personnel Management (OPM), ont été aspirées : numéros de sécurité sociale, lieux de domiciliation, parcours d’enseignement, expériences professionnelles, informations portant sur le cercle proche familiale mais aussi données financières, de santé et relatif au casier judiciaire.
Parmi ces 21,5 millions de personnes affectées, une grande proportion (19,7 millions) avaient fait une demande « d’habilitation de sécurité » ayant donné lieu à une enquête qui a conduit à la collecte de ces données.
Pour le reliquat (1,8 million de personnes), il s’agit de données en provenance des épouses ou de co-locataires vivant avec des postulants pour la fonction publique.
Des données biométriques de 1,1 million de personnes ont également été évaporées.
Selon l’OPM, il est probable que la plupart des personnes ayant fait l’objet d’une enquête enclenchée après l’an 2000 par l’agence publique en charge des ressources humaines soient concernées.
Mais, en l’état actuel, aucun indice ne semble démontrer que les millions d’informations personnelles aspirées aient été exploitées de façon frauduleuse.
En collaboration avec le ministère de la Défense et un éditeur du secteur privé spécialiste de la lutte contre les vols de crédit et d’identité, l’OPM propose un service d’accompagnement aux personnes affectées. Et ce, pour une durée de trois ans.
Un centre de ressources dédiées à la cyber-sécurité a également été mis en place, tout comme un call center.
En juin, l’OPM a également établi une liste de 15 améliorations visant à renforcer la sécurité de son accès à son système d’information. Et cela passe par un dispositif d’authentification forte à deux facteurs pour tous les utilisateurs.
Selon Les Echos, l’administration Obama soupçonne les autorités chinoises d’être à l’origine de cette cyber-attaque. Mais Pékin dément. Un grand classique du ping-pong dans la sécurité IT.
(Crédit photo : Shutterstock.com – Droit d’auteur : Crispy Fish Images)