Vous pensez que toutes les bases de données de votre entreprise sont couvertes ? Réfléchissez encore. Les mesures de sécurité les plus simples sont souvent négligées. Voici 10 exemples de problèmes de sécurité des données qui ont coûté des millions de dollars aux entreprises – et un incident qui a mis l’entreprise en faillite. Apprenez de leurs erreurs pour éviter des paiements de plusieurs millions de dollars.
L’estimation des coûts directs totaux de l’Institut Ponemon pour chaque incident a été calculée à partir des chiffres rapportés par l’Institut Ponemon dans son étude annuelle 2009 : Coût d’une atteinte à la protection des données aux États-Unis. L’Institut a constaté que le coût direct de chaque document compromis était de 60 $ en 2008. Voir page 5 du rapport.
1. Citigroup/Citibank, N.A. – Juin 2011 Utilisant une technique enseignée dans Hacking 101, des pirates ont manipulé l’URL du site Web bancaire en ligne de Citigroup pour voler des informations sur les comptes de plus de 300 000 clients, notamment leurs noms, adresses électroniques et numéros de carte. La société était responsable d’achats non autorisés de 2,7 millions de dollars effectués au moyen des comptes de 3 400 titulaires de cartes en Amérique du Nord.
Nombre total de dossiers compromis : 360 000
Estimation des coûts directs totaux de l’Institut Ponemon : 21,6 millions de dollars
Leçon apprise : Assurez-vous que vos programmeurs savent ce qu’ils font. Il y avait quelques mesures de base que les développeurs auraient pu prendre pour prévenir l’attaque. Citigroup a été largement critiqué pour ne pas avoir fait plus pour fournir un accès sécurisé à son compte en ligne et pour avoir attendu trop longtemps avant d’aviser ses clients de la violation.
2. Triwest/Département de la Défense des États-Unis – Décembre 2002Des voleurs sont entrés par effraction dans le bureau Phoenix de la Triwest Healthcare Alliance et ont volé des disques durs contenant les numéros de sécurité sociale et autres renseignements personnels de plus de 500 000 militaires et leurs familles. Certains numéros de cartes de crédit ont également été exposés.
Nombre total de dossiers compromis : 562 000
Estimation des coûts directs totaux de l’Institut Ponemon : 33,7 millions de dollars
Leçon apprise : Cette brèche s’est produite au moment où le Département de la défense se lançait dans un projet d’informatisation des dossiers de santé de tout le personnel militaire. Elle a incité l’armée à examiner ses mesures de sécurité physiques et électroniques dans l’ensemble de son système de soins de santé.
3. Sutter Medical Foundation – Octobre 2011Un ordinateur de bureau protégé par mot de passe mais non crypté contenant les noms, adresses, dates de naissance, numéros de téléphone et certaines adresses électroniques de plus de 4 millions de patients a été volé lors d’une effraction dans l’un des bureaux administratifs de la fondation à Sacramento, CA. L’organisation était en train de chiffrer les données stockées sur ses ordinateurs au moment du vol.
Nombre total de dossiers compromis : 4,2 millions
Estimation des coûts directs totaux de l’Institut Ponemon : 255 millions de dollars
Leçon apprise : La sécurité physique est tout aussi importante que la sécurité électronique.
4. Activité de gestion de Tricare/Ministère de la Défense des États-Unis – Septembre 2011Un entrepreneur de la Science Applications International Corporation (SAIC) travaillant pour Tricare à San Antonio (Texas) était censé transporter des bandes de sauvegarde d’une installation gouvernementale à une autre, sauf qu’un voleur est entré par effraction dans la voiture de l’entrepreneur alors qu’elle était garée dans un parking et a volé les bandes non chiffrées. Tricare est le système de soins de santé pour le personnel militaire en service actif et les anciens combattants. Les cassettes contenaient les noms, adresses, numéros de téléphone et numéros de sécurité sociale ainsi que les notes cliniques, les tests de laboratoire et les ordonnances de près de 5 millions de bénéficiaires de Tricare.
Au départ, l’organisme a dépensé plus de 14 millions de dollars en publipostage et en gestion d’un centre d’appels pour aviser tous les membres actuels et anciens des services dont les renseignements pourraient avoir été compromis. L’AV a par la suite accepté de verser 20 millions de dollars pour régler un recours collectif intenté par les anciens combattants et les membres en service actif touchés.
Nombre total de dossiers compromis : 4,9 millions
Estimation des coûts directs totaux de l’Institut Ponemon : 307 millions de dollars
Leçon apprise : Un autre exemple de l’importance de la sécurité physique (et du chiffrement des données).
5. Fidelity National Information Services – Juillet 2007Un administrateur de base de données de haut niveau de Certegy Check Services, filiale de Fidelity, a volé plus de 8 millions de dossiers de consommateurs et les a vendus à un courtier en données qui a ensuite vendu un sous-ensemble des dossiers à de nombreuses sociétés de marketing direct. L’employé était chargé de gérer qui avait accès à quelles données. Les dossiers comprenaient des données financières comme les détails des comptes chèques et les numéros de cartes de crédit, ainsi que les noms, adresses et dates de naissance. En fin de compte, l’entreprise a versé 6,7 millions de dollars pour régler les poursuites judiciaires intentées contre elle.
Nombre total de dossiers compromis : 8,5 millions
Estimation des coûts directs totaux de l’Institut Ponemon : 510 millions de dollars
Leçon apprise : Installez un logiciel de prévention des pertes de données et prenez d’autres mesures pour limiter la capacité des employés à copier les données. L’auteur aurait copié les données et les aurait emportées par la porte.
6. US Department of Veterans Affairs – Mai 2006Un ordinateur portable et un disque dur externe contenant les noms, adresses et numéros de sécurité sociale d’anciens combattants américains et de militaires en service actif ont été volés au domicile d’un employé d’AC. Les victimes ont intenté un recours collectif et ont obtenu un jugement de 20 millions de dollars.
Nombre total de dossiers compromis : 26,5 millions
Estimation des coûts directs totaux de l’Institut Ponemon : 1,59 milliard de dollars
Leçon apprise : Protégez et cryptez vos données par mot de passe. L’ordinateur portable et le disque dur externe volés n’étaient pas protégés par un mot de passe et les données n’étaient pas cryptées.
7. CardSystems Solutions – Mai 2005 Des pirates informatiques ont infiltré le système informatique de l’entreprise après s’être introduits par effraction dans le site Web utilisé par les clients pour accéder à leurs comptes en ligne. Au total, 40 millions de noms, numéros de cartes et codes de sécurité ont été révélés lors de l’infraction.
Nombre total de dossiers compromis : 40 millions
Estimation des coûts directs totaux de l’Institut Ponemon : 2,4 milliards de dollars
Leçon apprise : Vérifiez que vos procédures internes sont conformes aux exigences des partenaires commerciaux conçues pour assurer la sécurité des données des clients. Ne pas se conformer à la loi peut signifier ne plus être en affaires : Bien qu’une analyse médico-légale ait montré que seule une fraction des comptes compromis avait été téléchargée, l’enquête a révélé que CardSystems Solutions avait conservé un fichier non autorisé de données de transaction en violation des politiques de sécurité de MasterCard et de Visa – au bout du compte, l’entreprise a dû procéder à une acquisition.
8. Sony Corporation – Avril 2011Les pirates ont piraté plus de 70 millions de fichiers clients, y compris des informations financières, en injectant du code SQL malhonnête qui effectuait des décharges de bases de données.
Nombre total de dossiers compromis : 77 millions
Estimation des coûts directs totaux de l’Institut Ponemon : 4,62 milliards de dollars
Leçon apprise : Installez régulièrement des correctifs et des mises à jour. Les pirates ont exploité un logiciel de serveur web Apache obsolète.
9. TJX Companies, Inc – Janvier 2007Des pirates, menés par le tristement célèbre Albert Gonzalez, ont volé près de 100 millions de numéros de cartes de crédit et de débit à la société mère des magasins de détail TJ Maxx et Marshall. La société a été tenue responsable de 64 millions de dollars : 23 millions de dollars en dommages-intérêts résultant de recours collectifs et 41 millions de dollars dans le cadre d’un règlement hors cour avec Visa.
Nombre total de dossiers compromis : 94 millions
Estimation des coûts directs totaux de l’Institut Ponemon : 5,64 milliards de dollars
Leçon apprise : Sécurisez vos réseaux sans fil. Les criminels ont utilisé des techniques de conduite de guerre pour repérer les trous dans les réseaux sans fil de l’entreprise. Une fois à l’intérieur, ils ont installé un logiciel renifleur pour voler les mots de passe et avoir accès aux numéros de carte, qui ont été utilisés pour acheter pour des millions de dollars d’appareils électroniques de Walmart et d’autres magasins.
10. Heartland Payment Systems – Janvier 2009Gonzalez et ses cohortes ont également volé plus de 100 millions de noms de titulaires de comptes, de numéros de cartes de crédit et de débit et de dates d’expiration à Heartland Payment Systems, le cinquième processeur de paiement électronique en importance aux États-Unis. Heartland a dû verser 68 millions de dollars en dommages-intérêts à la suite de recours collectifs intentés par des victimes et de règlements à l’amiable avec American Express et Visa.
Nombre total de dossiers compromis : 130 millions
Estimation des coûts directs totaux de l’Institut Ponemon : 7,8 milliards de dollars
Leçon apprise : Identifiez et corrigez les vulnérabilités de votre système informatique avant que les pirates ne les exploitent. Les voleurs ont volé les données de la carte pendant qu’elle voyageait en clair sur le réseau de paiement et les ont utilisées pour accumuler des millions de dollars en frais frauduleux.
