Comment une entreprise peut-elle négliger la sécurité des données tout en équipant des millions de foyers et de campus universitaires en machines à laver connectées? C’est la question que se posent de nombreux experts après la récente cyberattaque contre l’entreprise CSC ServiceWorks.
Le géant du lavage basé à New York a récemment révélé qu’une faille de sécurité a permis à des hackers de dérober les informations personnelles de plus de 35 000 personnes, y compris des résidents du Maine. Mais comment est-ce possible pour une entreprise de cette envergure de laisser passer une telle brèche pendant plusieurs mois sans détecter l’intrusion?
Dès le 23 septembre 2023, un intrus a pénétré les systèmes de CSC et y est resté jusqu’au 4 février 2024 avant que la société ne découvre la présence malveillante. Ce n’est que jusqu’en juin que CSC a pu identifier les données volées, lesquelles incluent des informations sensibles telles que des noms, des dates de naissance, des documents d’identité et même des informations médicales. Pourquoi cette détection et cette identification ont-elles pris tant de temps?
La gravité de la négligence de CSC suscite des interrogations sur les mesures de sécurité adoptées par l’entreprise.
En outre, CSC reste floue sur les détails de l’attaque et n’a pas clarifié si les personnes concernées étaient des clients ou des employés. Même Stephen Gilbert, le porte-parole de l’entreprise, n’a pas souhaité répondre aux questions spécifiques de TechCrunch sur la nature de l’attaque ou sur une éventuelle demande de rançon. Est-il acceptable pour une entreprise manipulant des données si sensibles de maintenir un tel silence?
Ceci n’est pas la première fois que CSC fait face à des problèmes de sécurité. Plus tôt cette année, une faille découverte par deux étudiants permettait à quiconque d’utiliser les machines à laver gratuitement. Bien que CSC ait corrigé le problème et mis en place un programme de divulgation des vulnérabilités, une nouvelle faille permettant de contourner l’utilisation de pièces a récemment été rendue publique. Comment CSC peut-elle restaurer la confiance des consommateurs après une série de tels incidents de sécurité?
Ces événements soulèvent une question essentielle: les entreprises comme CSC sont-elles réellement préparées à protéger les données sensibles de leurs utilisateurs? Si une entité de cette taille peut être la proie d’une cyberattaque aussi prolongée, qu’en est-il des plus petites entreprises? La sécurité des données devient-elle l’exception plutôt que la norme dans le secteur des technologies?
Source : Techcrunch
