Au lendemain de la « [plus grande] violation de données privées de consommateurs », selon Jeff Flake, sénateur américain (Arizona), les membres du Congrès appellent à une meilleure reddition de comptes de la part des entreprises et de leur personnel dans la manipulation et le stockage des informations personnelles (PII).
« Les entreprises ont l’obligation légale de protéger les données sensibles des consommateurs. Cette diligence est nécessaire à la fois pour se conformer aux lois existantes et, encore davantage, pour mériter et conserver la confiance du public dans une économie axée sur les données », a déclaré le sénateur américain Greg Walden (Oregon).
La semaine dernière, Richard Smith, ancien PDG d’Equifax, a témoigné lors de nombreuses audiences du Congrès, y compris le Comité sur les services financiers, le sous-comité de l’énergie et du commerce et le Comité judiciaire du Sénat. « La brèche de sécurité s’est produite pendant mon mandat de président », a déclaré Smith. Toutes les sessions évoquent un thème commun : les entreprises qui ne se conforment pas à un code de conduite strict quant à l’utilisation d’informations privées et vulnérables doivent faire face à des sanctions sévères. Dans l’ensemble, les membres du Congrès américain ont exprimé un sentiment d’urgence à la suite de la brèche de sécurité d’Equifax et ont demandé un examen public approfondi concernant la réaction inefficace d’Equifax envers la cyberattaque qui a duré de mars à juillet 2017 et a touché plus de 145 millions d’Américains.
Lors de l’audience du Comité judiciaire du Sénat, le sénateur américain Thom Tillis (Caroline du Nord) a insisté sur le fait qu’il était fondamental d’investir dans la prévention et l’intervention en matière de sécurité de l’information pour assurer la subsistance et la position sociale des entreprises :
« Vous devez sécuriser les données pour maintenir votre réputation. Nous devons continuer à faire pression sur les entreprises pour qu’elles prennent les mesures correctives qui s’imposent après une brèche de sécurité. Nous devons déterminer comment y arriver. Et nous devons discuter… de cette problématique qui concerne des millions de personnes et des centaines de milliers d’entreprises qui sont toutes aussi vulnérables qu’Equifax en raison de la progression actuelle de mauvais acteurs comparativement à celle des entreprises qui durcissent leur [propres] systèmes. »
La brèche de sécurité d’Equifax représente un tournant dans le dialogue collectif entourant la sécurité de l’information puisqu’elle réunit des représentants du gouvernement, des chefs d’entreprises, des experts en TI et des victimes de cybercriminalité pour évaluer l’ampleur de l’atteinte à la vie privée et les pratiques exemplaires à mettre de l’avant. Equifax Inc. est une entreprise en B2B, de 3 milliards de dollars qui se spécialise dans la collecte et la vente d’informations personnelles et sensibles de plus de 820 millions d’individus à l’échelle mondiale, a expliqué le sénateur américain Walden.
« LA BRÈCHE DE SÉCURITÉ S’EST PRODUITE PENDANT MON MANDAT DE PRÉSIDENT », A TÉMOIGNÉ RICHARD SMITH.
Les membres du Congrès américain, notamment les sénateurs Elizabeth Warren (Massachusetts) et Ryan Costello (Pennsylvanie), ont exprimé leur indignation face au manque d’efficacité de la part d’Equifax, alors que l’entreprise a laissé la brèche se prolonger de mars à août 2017 sans jamais en informer le public. Actuellement, la sénatrice Warren présente un nouveau projet de loi, Freedom from Equifax Exploitation Act (Loi protégeant contre l’exploitation d’Equifax), qui donne aux consommateurs le choix de récupérer gratuitement leurs renseignements en matière de crédit en gelant ou en dégelant l’accès au crédit. Les répercussions de la brèche se propagent rapidement à l’ensemble du Congrès.
En effet, deux questions se posent : Comment allons-nous de l’avant; que peut-on faire? La sénatrice américaine Anna G. Eshoo (Californie) a illustré avec éloquence le niveau de détresse qui occulte la perception publique d’Equifax et de ses protocoles en matière de sécurité de l’information, soulignant que la sensibilisation et la stratégie de cybersécurité sont essentielles à la bonne gestion des données confidentielles des consommateurs :
« J’ai le privilège de représenter la majeure partie de Silicon Valley. J’ai posé cette question au sujet de la protection en matière d’atteinte à la vie privée dans notre pays à tous les PDG que j’ai rencontrés. Ils ont répondu comme un refrain et ont dit qu’il y avait deux raisons principales aux violations de données dans notre pays: un manque d’hygiène dans les systèmes et une très mauvaise gestion de la sécurité. Il m’est donc pénible de connaître cette information; sachant que la sécurité intérieure a avisé Equifax; il y a presque sept mois… Mais vous, en tant que président et chef de la direction à cette époque, lorsque la sécurité intérieure vous a informé qu’il y avait eu une violation des données, qu’avez-vous dit à votre DPI? Saviez-vous qu’elle était la bèche de sécurité? Avez-vous compris ce qu’impliquait le correctif? Avez-vous compris la nécessité d’agir en temps opportun afin que cette situation soit réglée? »
COMPRENDRE LES RÉPERCUSSIONS
Indirectement, les énoncés et la conversation ci-dessus indiquent finalement qu’une stratégie efficace de sensibilisation à la sécurité de l’information au sein d’une organisation est essentielle au maintien d’une culture d’entreprise fondée sur la confidentialité et les pratiques exemplaires. La brèche de sécurité d’Equifax est la preuve de ce qu’il ne faut pas faire. Les conséquences de brèches comme celles-ci sont graves car elles affectent la vie des consommateurs et du personnel et peuvent anéantir l’image et la marque d’une entreprise. Les cybercriminels, dont les identités n’ont pas encore été confirmées, ont accès aux renseignements les plus personnels et privés des gens, et pourraient choisir de les utiliser ou de les vendre comme bon leur semble. Ces données sont permanentes et comprennent des dates de naissance, des numéros d’assurance sociale et des adresses actuelles et antérieures. Les consommateurs sont exposés à un risque élevé de vol d’identité. Le personnel risque d’être confronté à une augmentation des activités frauduleuses au cours de sa journée de travail, ce qui peut entraîner d’autres incidents d’hameçonnage et d’ingénierie sociale. Enfin, les entreprises subissent une défaite, car leur réputation bien établie est endommagée en raison d’une violation de données qui aurait pu être évitée. À chaque tournant les répercussions sont désastreuses.
Les entreprises doivent réfléchir sérieusement à leur propre stratégie de sécurité de l’information et aux nombreuses mesures de prévention qui existent sur le marché pour prévenir une telle négligence. Les protocoles de sécurité qui ont été développés dans une ère pré-numérique ne correspondent pas au contexte contemporain de l’information. Les stratégies et les pratiques exemplaires doivent illustrer l’environnement de données actuel. Une campagne de sensibilisation intelligente et complète est indispensable lors du traitement des données personnelles des consommateurs. Les activités frauduleuses se poursuivront d’autant plus que les données et l’environnement dans lequel nous opérons sont de plus en plus sophistiqués. Les entreprises ont la responsabilité sociale et économique de protéger, de bonne foi, les plus vulnérables. Que le fiasco Equifax soit une leçon pour tous. Maintenant, nous ramassons les pots cassés afin d’avancer dans une direction plus sûre.
Chronologie des événements
LE 8 MARS
- La sécurité intérieure contacte Equifax les informant d’activités douteuses sur l’un de leurs portails.
- Smith prétend que les renseignements ont été investigués par Equifax; toutefois, rien n’a été trouvé.
LE 9 MARS
- Un programme Apache Struts qui s’exécutait sur le réseau informatique d’Equifax nécessitait des correctifs. Deux importants oublis ont lieu à cette date, a témoigné Smith. Il a expliqué au Congrès que la première erreur impliquait une erreur humaine, selon laquelle « l’individu, qui était responsable de communiquer à l’organisation d’appliquer le correctif, ne l’a pas fait ».
- La deuxième erreur est de nature technologique. Smith a indiqué que le scanneur qui était censé vérifier les vulnérabilités du système et appliquer les correctifs nécessaires (si nécessaire) n’a pas localisé la faiblesse.
LE 29 ET 31 JUILLET
- Smith a indiqué que l’équipe de sécurité d’Equifax a détecté des activités suspectes sur l’un de ses portails informatiques. Il n’y avait pas de confirmation d’une brèche, car un tel mouvement est considéré comme « routinier » dans le cadre du travail en sécurité informatique. Le portail est démantelé et une enquête interne commence.
LE 2 AOÛT
- Equifax contacte des experts juridiques et légistes externes pour enquêter sur le mouvement suspect. Smith a signalé qu’Equifax n’était pas encore au courant de la nature et de la portée de la violation de données.
DE LA MI-AOÛT À LA FIN AOÛT
- Quelques semaines après l’enquête initiale, Smith a allégué que c’est seulement à ce moment-là qu’il a reçu confirmation qu’est survenue une violation des informations personnelles et sensibles.
LE 7 SEPTEMBRE
- Equifax annonce au public qu’une violation de données généralisée s’est produite. La brèche de sécurité chez Equifax est la plus grande attaque jusqu’à présent, affectant près de la moitié de la population américaine.
Source : Audience du sous-comité de l’énergie et du commerce de la Chambre sur la violation de données d’Equifax, C-SPAN.org
(https://www.c-span.org/video/?434786-1/lawmakers-grill-former-equifax-ceo-data-breach)