Note de l'éditeur : Ce blog est le deuxième d'une série qui examine les causes et les effets des violations de données très médiatisées et liées à des tiers au cours de la dernière décennie. Ne manquez pas de consulter le blog Risk Register pour connaître les prochains épisodes de cette série !
En 2013, des attaquants ont utilisé l'accès d'un fournisseur tiers pour compromettre le réseau de Target et voler des informations sensibles sur les clients. Ce blog passe en revue le contexte de la violation de Target, les méthodes utilisées par les attaquants, ce qu'il est advenu des données, l'impact de la violation sur Target et ce que les praticiens actuels de la gestion des risques liés aux tiers apprennent encore de cette violation.
Pendant la saison des achats des fêtes 2013, des pirates ont infiltré le réseau de Target et ont compromis les informations de compte de 70 millions de clients. Les pirates ont volé des données comprenant les noms et prénoms, les numéros de téléphone, les adresses électroniques, les numéros de cartes de paiement et les codes de vérification des cartes de crédit - le véritable Graal des DPI !
Les attaquants ont utilisé une attaque de spear phishing contre l'entreprise tierce de CVC de Target, Fazio Mechanical Services, pour voler les informations d'identification des utilisateurs. Les pirates ont ensuite utilisé les informations d'identification volées et pour accéder au réseau d'entreprise de Target et installer des logiciels malveillants sur les dispositifs POS de Target. Le logiciel malveillant installé a recueilli des données sensibles sur les clients entre novembre et décembre 2013.
Les informations de carte de crédit volées ont ensuite été trouvées en vente sur le dark web. Cependant, il n'est pas clair si les vendeurs étaient les auteurs du crime.
Comme la brèche a été divulguée pendant la période de Noël, une période charnière pour les détaillants, Target a subi des pertes financières importantes. Les bénéfices de l'entreprise ont chuté de près de 50 % au quatrième trimestre de 2013 par rapport à l'année précédente et le cours de son action a baissé de 9 % sur une période de deux mois après la divulgation de la brèche. De plus, Target a réglé un recours collectif de 10 millions de dollars en 2015 et a accepté depayer jusqu'à 10 000 dollars aux clients ayant subi des pertes à la suite de la violation de données. Et en 2017, Target a payé 18,5 millions de dollars de plus en règlements.
De plus, la publicité négative généralisée a nui à la réputation de Target et a entraîné une attention indésirable. Le ministère de la Justice a lancé une enquête en 2014, et les législateurs ont fait pression sur les régulateurs fédéraux pour qu'ils examinent la brèche. En 2014, plusieurs commissions du Sénat ont utilisé la brèche comme sujet de discussion pour d'éventuelles réglementations concernant la sécurité des données. Dans le cadre du règlement de 2017, Target a été tenu d'adhérer aux meilleures pratiques commerciales publiées par le ministère de la Justice de la Californie dans les rapports sur les violations de données du procureur général de la Californie.
Bien que les professionnels de la gestion des risques puissent tirer de nombreuses leçons de la violation de la sécurité de Target, cette affaire est l'exemple type de la réalisation d'une évaluation approfondie des contrôles internes, en particulier dans deux domaines : la gestion des identités et des accès, et la formation et l'éducation des utilisateurs. Et bien que l'évaluation elle-même n'ait pas garanti que la violation n'aurait pas eu lieu, la visibilité du manque de contrôle interne sur ces processus de sécurité critiques aurait mis en lumière ce qui allait devenir des faiblesses matérielles.
Prevalent est unique en ce sens que nous combinons ces évaluations automatisées des fournisseurs avec une surveillance continue des menaces sur une seule et même plateforme pour obtenir une vue à 360 degrés des fournisseurs. Le résultat est la visibilité dont vous avez besoin pour révéler, interpréter et réduire les risques.
N'oubliez pas que ce n'est pas parce que vous confiez des fonctions essentielles à un tiers que vous externalisez le risque. Il vous appartient et vous devez le gérer en conséquence. Si vous ne le faites pas, vous devez vous préparer à des recours collectifs, à une atteinte à la réputation et à la marque, et à des pertes financières.
Pour en savoir plus sur la façon dont Prevalent peut aider votre organisation à mettre en place ou à développer son programme de gestion des risques liés aux tiers et à obtenir une visibilité sur les faiblesses des tiers, contactez-nous dès aujourd'hui.
Gérer efficacement les incidents de cybersécurité impliquant des tiers grâce à un plan de réponse aux incidents bien défini.
09/24/2024
Pourquoi les violations par des tiers sont en augmentation, qui est touché et ce que vous pouvez faire...
09/20/2024
Utilisez ces 6 conseils pour améliorer vos procédures d'intervention en cas de violation par un tiers.
09/17/2024