« Qui rit sans fin n’a pas compris le code de la sécurité. » Tel semble être le mantra d’Advanced, ce prestataire audacieux qui a préféré laisser les portes numériques grandes ouvertes, invitant un désastre à la table. Cette entreprise, partenaire de notre très aimé NHS, a récemment accepté de débourser la coquette somme de 3 millions de livres – l’équivalent d’un expresso à lavande à San Francisco, mais en millions – pour avoir un peu trop négligé la sécurité de ses systèmes avant un méchant assaut de ransomware en 2022.
Initialement, la « Data Watchdog » britannique, l’Information Commissioner’s Office (ICO), avait envisagé de faire payer à Advanced plus de 6 millions de livres – ou, pour les fans de clichés, littéralement le double. Ce paquet cadeau n’était pas de composition Lego, mais une amende pas piquée des hannetons pour mettre un peu de piquant dans l’apathie sécuritaire d’Advanced.
En matière de sécurité, mieux vaut prévenir que guérir… à 3 millions près.
Selon l’ICO, la petite bourde d’Advanced résidait dans l’absence de déploiement d’une authentification multi-facteurs, laissant la voie libre aux hackers grâce à de simples identifiants volés. Résultat: les données personnelles de dizaines de milliers de citoyens du Royaume-Uni se sont retrouvées à faire du parachute ascensionnel sans filet de sécurité.
Ce raid numérique a occasionné le chaos au sein du NHS, perturbant notamment les systèmes de données des patients supervisés par Advanced. En omettant de se barricader convenablement, c’est tout un système de santé publique qui s’est retrouvé à danser la salsa sur des braises incandescentes.
De manière assez loufoque, Advanced a admis avoir « réglé l’affaire » sans désigner de porte-parole, laissant à l’imagination des journalistes et à l’humour des internautes le soin de peindre la suite de l’histoire. Car après tout, combien de chefs d’entreprise peut-il bien falloir pour changer une ampoule… de bon sens?
Source : Techcrunch
