Les géants de la technologie sont-ils à jamais condamnés à répéter les mêmes erreurs en matière de sécurité des données ? Depuis quelques années, TechCrunch met en lumière les pires violations de données et incidents en matière de sécurité dans l’espoir d’inspirer les autres entreprises à éviter ces cataclysmes. Pourtant, en 2023, nous assistons à de nouvelles itérations des mêmes comportements imprudents.
Le cas de 23andMe est frappant. Le géant des tests génétiques a perdu les données de près de 7 millions de clients suite à une violation de sécurité. Quelle a été leur réponse initiale ? Rejeter la faute sur leurs utilisateurs, affirmant que ces derniers n’avaient pas sécurisé leurs comptes. Cette gestion calamiteuse a attiré l’attention des régulateurs britanniques et canadiens qui ont ouvert une enquête conjointe. Est-ce suffisant pour empêcher de futurs incidents similaires?
Un autre incident inquiétant concerne Change Healthcare, une entreprise méconnue jusqu’à ce qu’une cyberattaque en février 2024 paralyse le système de santé américain. La réponse lente de l’entreprise a laissé des millions d’Américains sans accès à leurs médicaments et services médicaux essentiels. Dans une tentative désespérée de contenir la situation, Change Healthcare a versé une rançon de 22 millions de dollars aux hackers. Mais cela vaut-il vraiment la peine de céder aux cybercriminels?
Comment les entreprises peuvent-elles se préparer à mieux protéger les données sensibles de leurs clients?
En parallèle, le fournisseur britannique de services de pathologie, Synnovis, a subi un piratage qui a perturbé les soins de santé au Royaume-Uni pendant des mois. Le non-recours à l’authentification à deux facteurs a encore une fois été pointé du doigt. Alors que le personnel de Synnovis annonce des grèves face à la pression accrue, le secteur médical est en proie à des incertitudes croissantes.
D’autres entreprises prestigieuses n’ont pas été épargnées. Snowflake, une figure majeure du cloud computing, a souffert de piratages massifs, et la réponse de la société a été modeste mais décisive avec l’introduction de l’authentification multi-facteurs par défaut. Cela suffira-t-il à regagner la confiance de leurs clients corporate?
L’année a également vu la ville de Columbus, Ohio, attaquer un chercheur en sécurité pour avoir dévoilé un ransomware qui affectait ses résidents. Plus tôt encore, la loi de 1994 CALEA, établissant des backdoors collectées suite à une violation par le groupe Salt Typhoon, désormais conseillé par le pays pour adopter des applications de messagerie chiffrées de bout en bout.
Les pénuries de communication de MoneyGram aux marges du marché monétaire ont également laissé les régulateurs et les clients observateurs se demander combien de personnes ont leur date de transaction en jeu. Des fuites révèlent la vente de 57 millions de données de clients Hot Topic en ligne.
Alors, au vu de tant de négligences tragiques et de réponses insuffisantes, comment les entreprises peuvent-elles vraiment garantir la sécurité de nos données à l’avenir ?
Source : Techcrunch
