Une amende négociée contre un budget cyber

Dans la newsletter d’aujourd’hui:

Pour les abonnés gratuits:

• L’édito: “ Une mande négociée contre un budget cyber ” par Frédéric Simottel

Pour les abonnés payants:

• Études: La rapidité de compromission des mots de passe.

• La Tribune: “Mais ce n’est qu’une imprimante… ” par Magali Moreau, Directrice Marketing et Communication chez Sharp Business Systems France

• A ne pas manquer sur le web: Trust & Tech by Campus Cyber, la nouvelle émission de cybersécurité en partenariat avec BFM Business.

Si l’affaire de la cyberattaque menée sur Equifax aux Etats Unis en 2017 a été enseignée lors de cours en cybersécurité, nul doute que les dirigeants de l’éditeur de logiciels éducatifs Blackbaud ont séché cette session. Rappelez-vous, Equifax, société chargée de noter la solvabilité des demandeurs de crédit nord-américains avait subi une cyberattaque majeure entre mai et juillet 2017. La fuite avait porté sur les données personnelles de 147 millions de personnes, la plus importante et plus grave violation de données de l’histoire en termes de volume de données sensibles compromises. L’incident avait coûté son poste au PDG d’Equifax. L’affaire avait connu son épilogue en juillet 2019, avec le versement d‘une amende de 700 millions de dollars. Parmi les reproches : absence de réactivité des responsables, communication tardive auprès des clients, aucun plan de secours, etc… 

Une mande négociée contre un budget cyber

Les années passent et certains dirigeants d’entreprises semblent toujours se moquer des conséquences d’une cyberattaque pour eux et surtout pour leurs clients. C’est en tout cas l’impression donnée par Blackbaud, un éditeur de logiciels en cloud destinés au monde éducatif et basé aux Etats Unis. L’amende de 6,75 millions de dollars semble en outre assez faible par rapport au préjudice subi par les victimes. Jugez plutôt.

Tout a démarré en mai 2020 par une attaque par ransomware. Des collaborateurs de Blackbaud utilisaient de manière quotidienne des mots de passe par défaut, faibles ou identiques. Et si quelqu’un voulait accéder à distance aux environnements sensibles, aucun système d’authentification multi-facteurs (MFA) n’avait été prévu. Les fichiers de logs de sécurité n’étaient pratiquement jamais surveillés : les pratiques de protection et de conservation de données n’étaient pas non plus à la hauteur, tout comme la gestion des correctifs jugée médiocre ou encore la sécurité des produits qui n’avait pas été correctement auditée… n’en jetez plus ! 

L’autorité de concurrence américaine porte plainte

Autant de manquements qui ont conduit la Federal Trade Commission (l’autorité américaine en charge du droit de la consommation et de la concurrence) à porter plainte contre Blackbaud. «Non seulement Blackbaud n'a pas protégé les informations personnelles des consommateurs, mais ils ont trompé le public pendant deux mois sur l'impact réel de la violation des données et sur l’ampleur de l’incident. C'est tout simplement inacceptable », a indiqué le procureur général de Californie, en charge de l’affaire. L'aveu public est en effet intervenu en juillet pour une attaque survenue en mai. Blackbaud avait déclaré à l'époque qu’aucune donnée n’avait été volée et pensait l’affaire classée. 

Mais l’enquête a vite démontré qu’une très grande quantité d’informations avait été dérobée, dont des données à caractère personnel, des numéros de sécurité sociale, des détails bancaires non cryptés et des données médicales. Au final, la FTC a conclu que des fichiers appartenant à environ 13 000 clients avaient été volés impactant des millions d'individus, des institutions académiques, des universités à travers le monde, des organismes à but non lucratif tels que le National Trust au Royaume-Uni ou encore des associations caritatives. 

Des manquements dans les lignes de commandement

Blackbaud s’est dans un premier temps défendu, arguant qu’il y avait juste eu un raté dans l’organisation, incriminant certains de ses employés qui avaient connaissance de la compromission potentielle des données mais ne l'avaient pas signalé à la direction… par manque de charte précise «Nous n'avions pas de politiques ou de procédures en place pour faire remonter de telles informations jusqu’à la direction », ont indiqué les avocats de l’éditeur. Mais c’est surtout la divulgation de l’incident qui a suscité davantage de critiques car elle révélait que les attaquants étaient présents dans les systèmes de Blackbaud depuis janvier 2020, sans y avoir être détectés. 

Il serait trop long de descendre encore davantage dans les détails de cette affaire qui ont vu Blackbaup, s’acquitter d’une première rançon de 3 millions de dollars, puis de se retrouver sous la menace de régler une amende d’un million de dollars à chacun des 49 états américains impliqués. Au Royaume Uni, l’entreprise s’est vue infligée une sanction des plus légères -équivalente à une tape sur les doigts-. Certes tout cela a donné lieu à d’âpres négociations entre chacune des parties durant plus de trois ans. 

Une stratégie cyber à déployer pour éviter de nouvelles sanctions

La sentence vient donc de tomber : une amende de 6,75 millions de dollars. Mais, pour éviter toute sanction supplémentaire, Blackbaud a dû établir une politique minimale de conservation des données, améliorer considérablement les pratiques en matière de mots de passe et renforcer les contrôles autour de l'infrastructure – notamment l'utilisation de la segmentation du réseau et la surveillance. « L'accord d'aujourd'hui garantira que Blackbaud donne la priorité à la protection des informations personnelles des consommateurs et améliore les mesures de sécurité pour prévenir de futurs incidents. » a précisé le procureur. Une décision qui pourrait paraître légère au vu de l’ampleur de cette cyberattaque. Mais finalement, plutôt que de payer une lourde amende, n'est ce pas plus intelligent de forcer la main de la « coupable victime » d’investir davantage dans son budget cybersécurité, sous réserve bien entendu d’un suivi strict et régulier. A méditer non ?

...