La violation des données de Target en 2013 : Une dernière leçon en matière de gestion du risque lié aux tiers

En 2013, des attaquants ont utilisé l'accès d'un fournisseur tiers pour compromettre le réseau de Target et voler des informations sensibles sur les clients. Ce blog examine le contexte de la violation de Target et ce que les praticiens actuels de la gestion des risques liés aux tiers apprennent encore de cette violation.
Par :
Tiffiany Newsome
,
Analyste des menaces
24 octobre 2019
Partager :
Blog target breach oct 2019

Note de l'éditeur : Ce blog est le deuxième d'une série qui examine les causes et les effets des violations de données très médiatisées et liées à des tiers au cours de la dernière décennie. Ne manquez pas de consulter le blog Risk Register pour connaître les prochains épisodes de cette série !

En 2013, des attaquants ont utilisé l'accès d'un fournisseur tiers pour compromettre le réseau de Target et voler des informations sensibles sur les clients. Ce blog passe en revue le contexte de la violation de Target, les méthodes utilisées par les attaquants, ce qu'il est advenu des données, l'impact de la violation sur Target et ce que les praticiens actuels de la gestion des risques liés aux tiers apprennent encore de cette violation.

Historique des violations de données

Pendant la saison des achats des fêtes 2013, des pirates ont infiltré le réseau de Target et ont compromis les informations de compte de 70 millions de clients. Les pirates ont volé des données comprenant les noms et prénoms, les numéros de téléphone, les adresses électroniques, les numéros de cartes de paiement et les codes de vérification des cartes de crédit - le véritable Graal des DPI !

Méthodes utilisées

Les attaquants ont utilisé une attaque de spear phishing contre l'entreprise tierce de CVC de Target, Fazio Mechanical Services, pour voler les informations d'identification des utilisateurs. Les pirates ont ensuite utilisé les informations d'identification volées et pour accéder au réseau d'entreprise de Target et installer des logiciels malveillants sur les dispositifs POS de Target. Le logiciel malveillant installé a recueilli des données sensibles sur les clients entre novembre et décembre 2013.

Qu'est-il arrivé aux données ?

Les informations de carte de crédit volées ont ensuite été trouvées en vente sur le dark web. Cependant, il n'est pas clair si les vendeurs étaient les auteurs du crime.

Comment la brèche a affecté Target

Comme la brèche a été divulguée pendant la période de Noël, une période charnière pour les détaillants, Target a subi des pertes financières importantes. Les bénéfices de l'entreprise ont chuté de près de 50 % au quatrième trimestre de 2013 par rapport à l'année précédente et le cours de son action a baissé de 9 % sur une période de deux mois après la divulgation de la brèche. De plus, Target a réglé un recours collectif de 10 millions de dollars en 2015 et a accepté depayer jusqu'à 10 000 dollars aux clients ayant subi des pertes à la suite de la violation de données. Et en 2017, Target a payé 18,5 millions de dollars de plus en règlements.

De plus, la publicité négative généralisée a nui à la réputation de Target et a entraîné une attention indésirable. Le ministère de la Justice a lancé une enquête en 2014, et les législateurs ont fait pression sur les régulateurs fédéraux pour qu'ils examinent la brèche. En 2014, plusieurs commissions du Sénat ont utilisé la brèche comme sujet de discussion pour d'éventuelles réglementations concernant la sécurité des données. Dans le cadre du règlement de 2017, Target a été tenu d'adhérer aux meilleures pratiques commerciales publiées par le ministère de la Justice de la Californie dans les rapports sur les violations de données du procureur général de la Californie.

Ce que les praticiens de la gestion des risques liés aux tiers peuvent apprendre de la violation de Target

Bien que les professionnels de la gestion des risques puissent tirer de nombreuses leçons de la violation de la sécurité de Target, cette affaire est l'exemple type de la réalisation d'une évaluation approfondie des contrôles internes, en particulier dans deux domaines : la gestion des identités et des accès, et la formation et l'éducation des utilisateurs. Et bien que l'évaluation elle-même n'ait pas garanti que la violation n'aurait pas eu lieu, la visibilité du manque de contrôle interne sur ces processus de sécurité critiques aurait mis en lumière ce qui allait devenir des faiblesses matérielles.

Prevalent est unique en ce sens que nous combinons ces évaluations automatisées des fournisseurs avec une surveillance continue des menaces sur une seule et même plateforme pour obtenir une vue à 360 degrés des fournisseurs. Le résultat est la visibilité dont vous avez besoin pour révéler, interpréter et réduire les risques.

N'oubliez pas que ce n'est pas parce que vous confiez des fonctions essentielles à un tiers que vous externalisez le risque. Il vous appartient et vous devez le gérer en conséquence. Si vous ne le faites pas, vous devez vous préparer à des recours collectifs, à une atteinte à la réputation et à la marque, et à des pertes financières.

Pour en savoir plus sur la façon dont Prevalent peut aider votre organisation à mettre en place ou à développer son programme de gestion des risques liés aux tiers et à obtenir une visibilité sur les faiblesses des tiers, contactez-nous dès aujourd'hui.

Tags :
Partager :
Tiffiany Newsome
Analyste des menaces
  • Prêt pour une démonstration ?
  • Planifiez une démonstration gratuite et personnalisée de la solution pour voir si Prevalent est fait pour vous.
  • Demander une démo