Suite au récent piratage de l’Agence Mondiale Antidopage et la divulgation d’informations confidentielles liés aux athlètes américains, Laurent Pétroque, Manager des avant-ventes chez F5 Networks France commente:
Que nous apprend le dernier piratage russe sur le paysage de menaces actuel ?
L’agence Mondiale Antidopage (AMA) a récemment été victime d’un groupe de pirates dénommé “Fancy Bears” qui a divulgué des informations sensibles et personnelles sur quatre des meilleurs athlètes américains, Serena et Venus Williams, Simone Biles et Elena Delle Donne. Ce piratage n’avait aucun objectif financier, ne ciblait ni des numéros de carte de crédit, ni des numéros de sécurité sociale. Il visait tout simplement à remettre en question la réputation des athlètes américains, et la Commission Olympique des Etats-Unis. On peut donc facilement en déduire que ces pirates agissaient en réponse directe à la décision du Comité International Olympique d’interdire la participation de nombreux athlètes russes en raison d’un présumé système de dopage organisé par l’Etat en Russie.
Le fait que les Fancy Bears aient uniquement publié les informations de quatre personnes nous amène à penser qu’ils possèdent des données médicales similaires concernant d’autres athlètes à travers le monde. On peut donc imaginer que ce n’est qu’une question de temps avant de voir des informations divulguées sur d’autres athlètes aussi bien des États-Unis que d’autres nations.
Que retenir de cette attaque ?
Il est indispensable de savoir ce que l’on souhaite protéger. Dans ce cas, il s’agissait des données personnelles des athlètes, de leurs tests de dépistage ainsi que d’autres renseignements médicaux. Une fois que les données à protéger sont clairement identifiées, l’entreprise doit travailler sur le « comment ». Bien trop souvent, les organisations font ce qu’elles ont toujours fait, et comptent sur les mêmes vieilles solutions d’atténuation des risques. Dans de nombreux cas, ces solutions d’atténuation n’ont pas évolué avec le temps et sont donc incapables de protéger contre le paysage des menaces dynamiques d’aujourd’hui.
Ne jamais supposer que son entreprise ne sera pas attaquée. Une myriade d’acteurs de la sécurité informatique axent leur marketing sur les messages, « vous serez attaqué » ou « il ne s’agit pas de savoir “si”, mais quand », et ainsi de suite. Si ces messages exploitent la stratégie du FUD (Fear, Uncertainty and Doubt ou peur, incertitude et doute), ils commencent à sonner faux. Il semble que plus personne ne soit en sécurité. D’un point de vue protection des données personnelles, le vol d’informations et d’identité est facile. D’un point de vue professionnel, toute entreprise ou organisation est désormais une cible.
En conséquence, il est vraiment temps de réévaluer le risque et de revoir les protections en place. Sont-elles prêtes à faire face aux menaces et aux attaques actuelles ? Sont-elles capables de résister à des attaques combinées ? Sont-elles en mesure de protéger les données, les applications et les identités, ou ne sont-elles encore destinées qu’à protéger le réseau ?
Laurent Pétroque