Spécial sécurité : fuites de données, compter 200 euros par enregistrement
Régulièrement, nous ouvrons nos colonnes à CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information. Aujourd'hui, nos confrères s'intéressent au coût des pertes de données, à la lumière du scandale Heartland, un intermédiaire bancaire américain spécialisé dans le petit commerce. Avant de revenir sur les conséquences de l'erreur de Google, qui, le week-end dernier, a blacklisté le caractère " / ".
Sommaire
- 1 - Perte d’information : 200 euros par enregistrement … au moins.
- 2 - Les « big one » se suivent et se ressemblent
1) Perte d’information : 200 euros par enregistrement … au moins.
Depuis le 28 janvier, le nom d’Alicia Cooper hante les pires cauchemars des dirigeants de Heartland. Heartland, c’est cet intermédiaire bancaire spécialisé dans le petit commerce, et dont une fuite du système informatique aurait potentiellement exposé plusieurs millions d’identités bancaires. Et Alicia Cooper, par le biais du cabinet d’avocats Chimicles & Tikellis, semble être la première « victime potentielle » à poursuivre l’organisme financier dans le cadre d’une class action. Les motifs invoqués vont de la négligence à la rupture de contrat, rupture des obligations fiduciaires et autres manquements aux obligations qui font toute la noblesse du métier de banquier. Ce n’est probablement là que le premier coup de semonce. Heartland traitait les opérations de près d’un quart de millions d’entreprises, dont bon nombre de commerçants travaillant sur la totalité du territoire US, et il est donc probable que la presque totalité des citoyens Nord-Américains ait à craindre une compromission de certaines de leurs opérations bancaires. Il y a donc de quoi alimenter la class action la plus phénoménale de toute l’histoire judiciaire américaine.
Par un hasard troublant, à quelques jours près, le Ponemon Institute rendait à PGP Corp, son commanditaire, une étude portant sur les coûts effectifs d’une fuite de données. L’addition s’élèverait à près de 202 dollars par enregistrement compromis, valeur moyenne estimée en 2008, en nette hausse par rapport à l’année précédente (197 $). Depuis 2005, l’augmentation de ce coût dépasse les 40 %.
A noter cependant que ce n’est que depuis 2005 ou 2006 que se sont multipliées les lois d’Etat obligeant les entreprises défaillantes à rendre publique ce genre d’accident. La première disposition légale du genre est née en Californie il y a 5 ans à peine. Le vecteur de pertes financières le plus important serait, estime le Ponemon, essentiellement provoqué par le départ des clients échaudés par ce genre de mésaventure. Des chiffres à prendre avec beaucoup de prudence, la « volatilité » de la clientèle étant très variable d’un secteur à l’autre, et pratiquement inexistante dans le domaine bancaire compte tenu de la complexité et des tracasseries administratives d’un changement de compte. Les entreprises de commerce direct (en ligne ou traditionnel) ou de distribution sont plus directement touchées, preuve certaine que le public est à la fois informé et conscient des risques entrainés par de telles pertes.
Globalement, le coût total par incident s’est élevé à 6,65 millions de dollars en 2008 (6,3 M$ en 2007). Les secteurs les plus sinistrés sont les organisations médicales (hôpitaux, mutuelles…) et les institutions financières – respectivement 6,5 et 5,5 % des cas, à comparer à une moyenne de 3,6 %. Dans 44 % des cas, les fuites étaient provoquées par des « tierces parties », sous-traitants, intermédiaires etc. Ce sont également, compte tenu des coûts d’enquête, les cas qui reviennent le plus cher. Près de 84 % des sinistres constatés sont survenus dans des organisations ayant déjà subi des accidents du même genre au cours de l’année… mais, l’expérience aidant, le prix d’une nouvelle perte se solde en moyenne aux environs de 192 $ par enregistrement… contre 243 dollars pour les entreprises qui font pour la première fois l’expérience de cette mésaventure. 88 % des cas enregistrés en 2008 ont pour origine une négligence « interne ».
L’intégralité de l’étude peut être téléchargée contre « fuite de données personnelles » volontairement consenties, directement sur les serveurs du Ponemon.
2) Les « big one » se suivent et se ressemblent
Lorsque Google « blackliste » le caractère « », cela donne une inépuisable matière à articles. Les plus touchés seraient les commerçants « en ligne » dont une grosse partie du business repose sur les retours de requête Google et le résultat des sites comparateurs. Entre 20 et 40 % de perte de fréquentation et d’activité, estiment certains. Ce qui prouve que la notion de « client fidèle » et de « lecteur régulier d’un site » est, dans bien des cas, très relative. Ce qui prouve également – mais qui semble s’en inquiéter ? - que l’activité économique de certains et surtout la diffusion de l’information (donc l’orientation de l’opinion publique) dépend en grande partie (70 %) de cet unique moteur de recherche. Le véritable « big one », ce n’est pas véritablement lorsque Google se plante, mais lorsqu’il fonctionne trop bien.
Plus discret, ne dépassant à peine 2 sur l’échelle de Richter du hack, Chris Paget, interviewé par Dan Goodin du Reg (via Hackaday), nous apprend comment lancer une campagne de Wardriving contre les puces RFID. Un lecteur de cartes, une antenne, une automobile, et l’on récupère les identifiants de passeports comme d’autres vont à la pêche au crabe. Certes, les informations confidentielles contenues dans l’électronique du document de voyage ne sont pas (encore) accessibles… mais le numéro identifiant unique l’est parfaitement. Et comme il n’est pas rare, aujourd’hui, de trouver des porteurs de RFID « multirécidivistes », bardés de cartes d’abonnés ou de fidélité, de clefs d’accès, de sésame à parking, etc., la corrélation des informations n’est plus franchement quelque chose de complexe. L’association « identifiant-identité » devient un jeu d’enfant. C’est tout de même plus préoccupant que quelques ventes de machins à laver manquées faute de Googlemining.