Du risque tiers à la réalité : Analyse de la violation des données d'Experian en 2012

En 2012, Experian, une agence d'évaluation du crédit, a acquis une société appelée Court Ventures, un collecteur et agrégateur d'informations provenant de dossiers publics. Ce faisant, Experian a hérité sans le savoir d'un client de Court Ventures qui avait vendu les données d'autres clients sur le dark web. Ce blog passe en revue le contexte de la violation, les méthodes utilisées par l'attaquant, ce qu'il est advenu des données et l'impact de la violation sur Experian. Il offre également des leçons aux praticiens de la gestion des risques liés aux tiers pour obtenir une visibilité sur les contrôles et les pratiques de sécurité des tiers.

Historique des violations de données

En mars 2012, Experian a acquis Court Ventures, une société qui regroupe des informations accessibles au public provenant de 1 400 bases de données locales et de comtés, puis les revend à des fins de marketing. Après l'acquisition, les services secrets américains ont contacté Experian pour l'informer que le gouvernement américain enquêtait sur l'un des clients de Court Ventures pour avoir servi de façade à un réseau de vol d'identité.

Méthodes utilisées

Hieu Minh Ngo, un pirate informatique vietnamien, est responsable de la violation. Il s'est fait passer pour un détective privé à Singapour et a créé une société écran, US Info Search. Ngo a ensuite créé un compte auprès de Court Ventures, a effectué des recherches dans sa base de données pour trouver des enregistrements de clients à 12 cents par recherche et a compilé les données découvertes.

Qu'est-il arrivé aux données ?

Ngo a vendu les données volées à des pirates sur ses sites web obscurs qui ont aidé au vol d'identité. En conséquence, 1 300 personnes se sont fait voler leur identité. Ngo a gagné plus de 2 millions de dollars en vendant les données volées. En 2015, Ngo a été extradé vers les États-Unis et condamné à 13 ans de prison.

Comment la brèche a affecté Experian

Bien que les données d'Experian n'aient pas été compromises et que l'entreprise ait nié toute culpabilité dans cette violation, elle a dû faire face à des conséquences négatives. En 2013, les victimes d'usurpation d'identité suite aux actions de Ngo ont déposé un recours collectif contre Experian pour des violations statutaires liées au Fair Credit Reporting Act et à d'autres réglementations. L'une des revendications était qu'Experian avait omis d'informer les clients que leurs informations avaient été compromises. L'affaire a été classée en octobre 2015.

De plus, la violation s'est produite moins d'un an après que la commission du Sénat américain sur le commerce, les sciences et les transports ait lancé une enquête sur la manière dont le secteur du courtage de données traite les informations des clients. Ce mauvais timing a exacerbé l'atteinte à la réputation d'Experian suite à la brèche. En octobre 2013, le comité a élargi son enquête et a interrogé les dirigeants d'Experian sur les pratiques de contrôle des clients de l'entreprise et le service de vol d'identité de Ngo. Le vice-président senior des affaires gouvernementales d'Experian a publiquement admis qu'ils n'avaient pas effectué la diligence raisonnable nécessaire qui aurait permis de détecter les activités de Ngo.

Ce que les praticiens de la gestion des risques liés aux tiers peuvent apprendre de la violation d'Experian

Les professionnels de la gestion des risques peuvent tirer de nombreuses leçons de la violation d'Experian. Le plus important est que, dans le cadre du processus de fusion et d'acquisition, Experian aurait dû effectuer une vérification préalable des contrôles internes et des politiques de sécurité de Court Ventures afin de déterminer comment ils ont permis à des tiers d'accéder à leurs données pour leurs clients, et comment cela aurait exposé Experian à des risques commerciaux. Cela peut être difficile, cependant, car il y a généralement une visibilité limitée et un manque d'informations centralisées sur la santé commerciale d'une cible d'acquisition.

Prevalent offre une vue unique, sous forme de tableau de bord, de la veille économique actuelle et historique des vendeurs, fournisseurs et autres tiers. Cette intelligence comprend des données sur les finances, la marque, la réglementation et le leadership -- ainsi que des informations sur les actions en justice, les poursuites judiciaires, etc. Dans ce cas d'utilisation, Prevalent peut fournir une vue centralisée de l'activité publique des cibles de fusions et acquisitions. Combiné à l'analyse du dark web ( cyber ) et à d'autres outils de sécurité ( cyber ), ce système aurait pu déclencher des signaux d'alarme concernant d'éventuelles activités malveillantes menées par Court Ventures.

Notre solution de surveillance des risques commerciaux fait partie de la plateforme holistique de gestion des risques liés aux tiers de Prevalent, qui intègre des analyses des menaces de l'extérieur vers l'intérieur avec des évaluations des contrôles internes de l'intérieur vers l'extérieur pour une vue complète et à 360 degrés des risques liés aux tiers.

Avec l'augmentation de l'activité réglementaire liée à la sécurité de l'information, le tollé des consommateurs concernant les violations de données et la complexité croissante du paysage des risques commerciaux, les répercussions juridiques et financières résultant des violations commises par des tiers vont continuer à augmenter. En mettant en place les bonnes mesures, les praticiens de la gestion des risques liés aux tiers peuvent contribuer à maintenir leurs entreprises à l'écart des gros titres.

Pour en savoir plus sur la manière dont Prevalent peut vous aider à gérer les risques complexes liés aux tiers, demandez une démonstration de notre plateforme TPRM.