Même s’il ne s’agit certainement pas de la plus importante atteinte à la sécurité des données à survenir dans l’histoire récente, cet incident de Rogers Communications sert à nous rappeler combien une erreur apparemment sans importance commise par un employé peut être lourde de conséquences dans le domaine de la cybersécurité.
Les atteintes à la sécurité des données sont devenues de grands sujets d'actualité, et à juste titre. Ces incidents ont des conséquences considérables non seulement pour les entreprises touchées, mais aussi pour leurs employés, leurs partenaires d’affaires et, plus important encore, leurs clients passés et actuels. L’impact de ces brèches varie, mais beaucoup ont un élément clé en commun : le facteur humain. Beaucoup trop souvent, des atteintes à la protection des données surviennent alors qu’il était tout à fait possible de les éviter, si seulement les employés ou d’autres membres du personnel autorisés avaient été mieux sensibilisés à la sécurité de l’information.
La récente atteinte à la protection des données survenue chez Roger Communications en est un exemple concret. Même s’il ne s’agit certainement pas de la plus importante atteinte à la sécurité des données à survenir dans l’histoire récente, cet incident sert à nous rappeler combien une erreur apparemment sans importance commise par un employé peut être lourde de conséquences dans le domaine de la cybersécurité.
« L’atteinte à la protection des données découlait d’une attaque d’hameçonnage visant un des agents de soutien en TI de Rogers. »
Une brèche lourde de conséquences
« L’atteinte à la protection des données découlait d’une attaque d’hameçonnage visant un des agents de soutien en TI de Rogers. Cet employé a été dupé et amené à divulguer des détails confidentiels sur un directeur des comptes. En retour, cela a permis à l’auteur de la cyberattaque d’accéder aux dossiers internes de Rogers, notamment à l’information concernant des douzaines de comptes de moyennes entreprises, selon The Globe and Mail.
L’auteur de la cyberattaque s’est par la suite servi de cet accès pour mettre la main sur de nombreux contrats gérés par l'employé berné. Le pirate a par la suite utilisé Twitter pour afficher publiquement un fichier auto-décompressable contenant ces contrats ainsi qu’un certain nombre de courriels échangés entre des employés de Rogers.
Dans une déclaration, Patricia Trott, porte-parole chez Rogers, a reconnu que des précisions sur les prix ont été révélées lors de la brèche, ainsi que les noms, les adresses et les numéros de téléphone d’entreprises. En revanche, elle a souligné que le pirate n’avait pas eu accès à des renseignements financiers personnels, a indiqué The Globe and Mail.
Quoi qu’il en soit, il s’agit certainement d’une atteinte importante et sérieuse pour l’entreprise ciblée. Rogers a été obligé de communiquer avec tous les clients touchés pour les informer de la brèche. Naturellement, cette situation a eu une incidence négative sur les relations d’affaires et incitera probablement certains clients à couper les liens avec Rogers.
L’attention médiatique générée par cet incident aura un impact encore plus important. Comme c’est maintenant presque toujours le cas, l’atteinte à la protection des données de Rogers a reçu beaucoup d’attention de la part de médias réputés. Outre The Globe and Mail, The Huffington Post, IT World Canada et plusieurs autres ont rapporté l’incident. Un client potentiel à la recherche d’un fournisseur de services entendra fort probablement parler de cet incident, et il risque d’être beaucoup plus réticent à choisir Roger par crainte des conséquences possibles sur le plan de la cybersécurité.
Une atteinte à la sécurité des données, même de moindre envergure, aura presque certainement des effets immédiats et à long terme sur les relations avec la clientèle et la réputation d’une entreprise.
Erreur humaine et cybersécurité
En gardant cela à l’esprit, il y a lieu de se pencher de plus près sur la façon dont l'erreur humaine a mené à cette brèche de données. Comme mentionné ci-dessus, l’auteur de la cyberattaque a employé des techniques d’hameçonnage pour amener un employé de Rogers à divulguer de l’information sensible.
Cette tactique est courante. Les individus qui commettent ce genre d’attaque savent qu’avec un effort relativement minime, une manœuvre d’hameçonnage peut rapporter gros. Les attaques d’hameçonnage contournent les défenses traditionnelles d’une entreprise, comme les pare-feux et les programmes de lutte contre les logiciels malveillants, et permettent d’accéder aux données et actifs d’entreprise les plus sensibles.
En conséquence, les entreprises évoluant dans tous les secteurs doivent prendre des mesures pour se prémunir contre cette menace grandissante. La seule mesure utile qu'une entreprise peut prendre dans ce domaine consiste à investir dans la formation de sensibilisation à la sécurité pour l'ensemble de son personnel. Les employés doivent pouvoir différencier les courriels légitimes des messages suspects. Comme le révèlent cet incident et de nombreux autres, il s'agit d'une tâche difficile. Grâce à une formation en cybersécurité, les travailleurs acquerront les connaissances nécessaires pour se protéger ainsi que leur entreprise contre la menace de cyberattaques d'hameçonnage.