Pertes de données : Deloitte est… touché

Gestion des risques - Stratégie - Posté on 13 Oct 2008 at 8:00 par cnis-mag

Nos confrères d’Accountancy Age –revue dignement soporifique et pas alarmiste pour deux dollars- titre avec effroi « 100 000 identités de pensionnaires se font voler avec un ordinateur portable Deloitte ». Encore un drame de la vie des bases de données, encore un divorce de confiance. Le portable en question était glissé dans un sac à main, lequel s’est fait dérober dans un lieu public « avec les numéros d’assurance, le détail des salaires et les noms de près de 100 000 employés »… ce n’est qu’à la fin du quatrième paragraphe que l’on apprend que l’ordinateur en question était protégé par un « start up password, operating system user ID / password authentication and encryption »… c’est ce que l’on appelle « ménager ses effets ». A moins que le vol en question ait été précisément planifié et organisé par un concurrent ou ennemi, il est statistiquement peu probable que le voleur à la tire à l’origine de ce forfait se lance dans le « bruteforcing » du chiffrement de ladite machine. Laquelle doit, à l’heure qu’il est, être déjà revendue sur eBay ou reformatée pour y accueillir la dernière version de Warcraft.

Cette aventure est à rapprocher d’une autre, relatée par nos confrères de Network World : WBG, la World Group Bank, une institution spécialisée dans le financement des pays en voie de développement, nie toute rumeur de fuite de données suite à une intrusion système dévoilée par Fox News. Fox qui ne faisait pas particulièrement dans la dentelle, en affirmant que la WBG faisait face à une « crise sans précédent ». Une seule chose est sûre : il y a bel et bien eu intrusion. Quant à déterminer si l’intrusion a pu parvenir jusqu’aux couches sensibles du système, il manque encore quelques preuves, que les papiers de Fox News ne peuvent apporter, s’indignent les banquiers.

Depuis l’affaire CardSystems, puis, plus récemment, le hack TJX, les médias sont de plus en plus sensibles aux histoires de perte de données. Poussés en ce sens par un quarteron de marchands d’outils de DLP (Data Loss Prevention) qui font tant et plus pour justifier le bien fondé de leurs équipements. Il est aujourd’hui des pertes de données comme il en était il y a une dizaine d’années à propos des failles découvertes dans le périmètre informatique de l’entreprise. Nessus était à l’époque le meilleur ami du Directeur Marketing, et ce n’est que 10 ans plus tard que l’on a généralement commencé à admettre le principe de gestion de risques et des rustines « plus chères à corriger qu’à craindre ». Il en sera probablement aussi ainsi pour qu’un jour l’on parvienne à faire le distinguo entre les intrusions, pertes accidentelles et vols de matériel d’une part, et l’exploitation effective des données d’autre part.

Laisser une réponse