Comment les entreprises réagissent-elles face aux violations de données ? La question n’est pas nouvelle, mais elle revient sur le devant de la scène alors que chaque année, de nouvelles entreprises se retrouvent sur la liste des plus grands scandales de sécurité informatique. Malgré l’espoir que les entreprises tireraient des leçons du passé, la réalité montre que certaines persistent dans les mêmes erreurs. Pourquoi un tel manque de prise de conscience ?
Commençons par 23andMe. Cette entreprise, géant des tests génétiques, a été victime d’une énorme fuite de données, compromettant près de sept millions de clients. Étrangement, plutôt que d’adopter une stratégie de communication transparente, l’entreprise a blâmé ses utilisateurs pour ne pas avoir sécurisé suffisamment leurs comptes. Mais pourquoi externaliser ainsi la responsabilité ? Cela a mené à des poursuites et à des enquêtes en Europe, soulignant un problème de gestion de cette crise.
La situation de Change Healthcare n’est guère plus reluisante. Cette attaque cybernétique a paralysé le système de santé américain pendant plusieurs mois. La lenteur de la communication de l’entreprise quant à l’ampleur des dommages – touchant plus de 100 millions de patients – a soulevé une vague d’indignation. À quel moment la transparence devient-elle cruciale pour maintenir la confiance des utilisateurs ?
La gestion des violations de données est-elle un symptôme d’un problème plus profond de gouvernance d’entreprise ?
En parallèle, une attaque sur Synnovis a perturbé les services de santé britanniques, tandis que Snowflake a vu plusieurs de ses clients majeurs exposés à des hacks massifs. Chacune de ces attaques souligne une fois de plus un problème récurrent : l’absence d’authentification multifactorielle. Pourquoi, en dépit des preuves accablantes, une telle sécurité de base n’est-elle pas mise en place par défaut par toutes les entreprises ?
Et que dire des actions entreprises par MoneyGram ou Hot Topic, où les détails sur l’ampleur des violations restent obscurs ? Est-il acceptable qu’un an après, les clients concernés ne sachent toujours pas si leurs données ont été volées ?
Le rôle des gouvernements et régulateurs est aussi questionné, comme le montre l’exemple de Salt Typhoon exploitant une loi américaine pour accéder aux communications sensibles. Les recommandations actuelles peuvent-elles suffire face à la sophistication croissante des menaces ?
Enfin, les entreprises de sécurité elles-mêmes ne sont pas épargnées, à l’image de celles rappelées à l’ordre par la SEC pour avoir minimisé l’impact de leurs propres failles. Qui doit être tenu pour responsable dans ce jeu du chat et de la souris de la cybersécurité, et quelles mesures préventives concrètes peuvent être attendues pour enrayer cette spirale de violations de données ?
Source : Techcrunch
