Comment réagir face à une cyberattaque ? C'est une des réponses que la société Deloitte se propose d'apporter aux entreprises. Elle a désormais l'occasion d'appliquer ses recommandations à elle-même... Une chose est sûre, elle ne fait pas preuve de la plus grande transparence.
Avec un chiffre d'affaires consolidé de 38,8 milliards de dollars sur son année fiscale 2017 (clôturée le 31 mai, en hausse de 2 milliards d'euros sur un an), Deloitte est l'un des plus gros cabinets d'audit et de conseil au monde. Il fait partie des « Big four » aux côtés d'Ernst & Young, KPMG et PricewaterhouseCoopers. La société propose son savoir-faire à de grands groupes et institutions.
Une partie de ses activités concerne les cybermenaces. « Depuis quelques années, la question n’est plus de savoir si vous subirez des cyberattaques, mais plutôt quand elles se produiront et quelle sera leur ampleur » explique à juste titre la société sur son site. Et elle ne croyait certainement pas si bien dire.
En effet, nos confrères du Guardian révèlent qu'elle a été victime d'une cyberattaque « passée inaperçue depuis des mois », avec une fuite de données personnelles de certains de ses clients. La société confirme, mais ne communique que du bout des lèvres, principalement pour minimiser la portée de cet incident.
Un accès administrateur au serveur email... entre autres
Selon nos confrères, le ou les pirates ont eu accès au serveur email de la société (hébergé sur Azure Cloud Service de Microsoft) avec un compte administrateur, leur permettant potentiellement de récupérer cinq millions de messages qui y seraient stockés. Puisque la société propose des conseils dans de nombreux domaines (cybersécurité, acquisition, fiscalité, stratégie, etc.) on peut facilement imaginer les données extrêmement sensibles pouvant s'y trouver.
Le Guardian ajoute que l'accès au compte administrateur n'était protégé que par un mot de passe, sans une seconde étape d'identification, alors que c'est désormais considéré comme une protection de base, surtout pour des données aussi sensibles. Ce n'est pas tout, nos confrères en rajoutent encore une couche : les pirates auraient également pu accéder à des noms d'utilisateurs, mot de passe, adresse IP et architecture réseau de chez Deloitte. Seule bonne nouvelle dans ce déluge : les fuites de données ne concerneraient que les États-Unis.
La faille aurait été découverte en mars de cette année, mais les pirates auraient eu accès aux données depuis octobre ou novembre de l'année dernière, toujours selon les informations du Guardian. Hasard ou non du calendrier, Deloitte aurait demandé à ses employés américains de réinitialiser leur mot de passe en octobre 2016, comme le rapporte Brian Krebs sur son blog.
« Très peu de clients » concernés selon Deloitte
Deloitte n'a pour le moment fait aucune annonce officielle sur son site (ni sur les réseaux sociaux), mais a tout de même apporté des éléments de réponse à plusieurs de nos confrères, dont The Guardian et Reuters.
Dans les deux cas, elle confirme avoir été victime d'une cyberattaque, mais précise que « très peu de clients » sont concernés, sans détails supplémentaires. Tout juste savons-nous qu'ils ont été contactés. Le mutisme du cabinet ne s'arrête pas là : si des autorités compétentes ont évidemment été contactées après cette découverte, nous ne saurons pas lesquelles.
Deloitte a évidemment procédé à un examen des traces laissées par le ou les pirates et affirme que les données exposées ne représenteraient qu'une « très petite partie » de ce qui a été annoncé... là encore sans donner aucun détail supplémentaire sur leur nombre. Les auteurs de cette cyberattaque ne sont pas encore connus.
De son côté, le Guardian indique qu'au moins six clients Deloitte auraient été informés par le cabinet d'un risque de fuite. La société ajoute par contre qu'il n'y a eu aucune interruption de service. De plus, suite à cette découverte, un « protocole de sécurité complet » a été mis en place avec l'aide d'experts internes et externes.
A-t-elle mis près de six mois à mettre en lumière ce piratage, comme le rapporte The Guardian ? Deloitte n'apporte aucune réponse sur ce point. Selon Brian Krebs (citant une source proche du dossier), le cabinet ne saurait pas encore avec exactitude comment et quand se sont déroulés les faits. Pire, « les enquêteurs ne sont pas certains d'avoir expulsé les intrus du réseau », deux éléments à confirmer bien évidemment. Le problème étant que Deloitte ne donne pas d'information précise sur ces points.
Une cyberattaque ? Quelle cyberattaque ?
Cette cyberattaque permet de voir en pratique comment Deloitte applique ses propres conseils. Sur son site, elle explique les grandes pistes : « Lorsque vous êtes victime d’une cyberattaque, vous devez pouvoir réagir rapidement, mobiliser les bonnes personnes, isoler l’incident et réparer tout dommage avec le moins de perturbations possible ».
À y regarder de plus près, on se rend compte que la transparence n'est pas vraiment une priorité dans le cas présent. Si Deloitte a donné des précisions à plusieurs de nos confrères, il s'agissait surtout pour l'entreprise de jouer les pompiers en affirmant que la portée est bien moins importante que ce que laisse entendre The Guardian. Par contre, aucune trace de cette missive sur les réseaux sociaux ou dans les communiqués de presse.
La transparence est pourtant un élément important menant à la confiance, comme l'explique elle-même la société sur son site Equation de la confiance : « Il devient nécessaire pour les organisations de répondre aux attentes de leurs parties prenantes en matière de transparence tout en préservant leurs orientations stratégiques ou leurs informations confidentielles. Cette tendance rend impérative la maîtrise des nouveaux canaux. Et si les interlocuteurs de l’entreprise étaient plus sensibles à un message sincère, fiable et juste qu’à une abondance de signaux ? » Visiblement plus facile à dire qu'à faire...
Commentaires (43)
Faut-il y voir ici une preuve du manque de sérieux de certaines prestations de consulting ?
Ça se saurait !
" />
Bref les pirates avaient accès à tout surtout pendant un très long laps de temps.
" />
ça fait un peu tâche…
“Lorsque vous êtes victime d’une cyberattaque, vous devez pouvoir réagir rapidement, mobiliser les bonnes personnes, isoler l’incident et réparer tout dommage avec le moins de perturbations possible” Mon dieu, quelle révélation. Sans eux, on y aurait pas pensé
" />
Il dit qu’il voit pas le rapport.
Il n’est bien surprenant qu’une structure de ce style (dont le business model intègre une confidentialité de ses données client) essaie de temporiser la transparence, le temps de diagnostiquer l’étendue du (potentiel) désastre. Qu’il y ait eu un défaut de moyen au niveau de la fonction support DSI/SSI, ça a l’air bien parti pour être le cas. Aucun rapport avec la qualité du métier (l’activité d’audit / consulting) proprement dit.
Big four
Quel rapport avec la poterie ?
C’est pas faux.
" />
Voir même apprendre de toi, tout en te facturant la prestation biensur
C’est toujours le cordonnier le plus mal chaussé.
Vendre des conseils pour blinder son SI et ne pas être capable de sécuriser le sien, ça la fout mal quand même.
C’est la faute à un consultant en stage chez eux
" />
5 millions de messages… C’est à la limite de l’inexploitable… Serait peut-être temps de faire le ménage non…
Après c’est pas choquant qu’une boite comme ça minimise les dégâts… Sont pas fous non plus. N’importe quelle boite en ferait autant.
Une partie de ses activités concerne les cybermenaces. « Depuis quelques années, la question n’est plus de savoir si vous subirez des cyberattaques, mais plutôt quand elles se produiront et quelle sera leur ampleur » explique à juste titre la société sur son site. Et elle ne croyait certainement pas si bien dire.
En effet, nos confrères du Guardian révèlent qu’elle a été victime d’une cyberattaque « passée inaperçue depuis des mois », avec une fuite de données personnelles de certains de ses clients. La société confirme, mais ne communique que du bout des lèvres, principalement pour minimiser la portée de cet incident.
Sortez un parapluie, je prédis un déluge de têtes
[HS]
C’est un consultant en vadrouille à la campagne qui s’arrête à côté d’un berger.
“ Je vous propose quelque chose mon bon Monsieur : si je vous donne exactement la taille de votre pâture et le nombre de têtes dans votre troupeau, vous me donnez un de vos moutons.
Le consultant sort son pc portable, tapote un moment sort une carte GPS et pond un joli PowerPoint.
Sûr qu’il est de son fait, il embarque une des bestioles sous son bras.
Maintenant vous me rendez mon chien !
[/HS]
Pour en revenir à l’actu, ils sont renommés pour la partie SI, Deloitte ? De mon temps, c’était surtout pour de l’audit ou du conseil financier qu’on les appelait.
Avec 244 000 employés dans le monde, ça ne fait que 20 mails par employé.
Comme il ne s’agit que des employé US, mon calcul est faux, mais même 5 à 6 fois plus de messages par employés, ça reste raisonnable.
Ben, cette boîte fait partie des Big Four c’est tout..
C’est comme si on précisait que Microsoft faisait partie des GAFAM..
C’est une information en plus
On peut être parmi les plus grands et merder, c’est pas incompatible.
Je sens qu’on va se “marrer” avec la RGPD en mai…
Le nombre de mails ziratés n’est pas important en soit, ce qui l’est plus c’est l’information qui est dedans.
" />
Il te suffit de choper l’email de l’admin qui envoie le mot de passe du Vcenter au nouveau pour que patatra… c’est la caca, la caca, la catastrophe !
Désolé je me suis refait les 3 frères il y a 3 jours…
Et si les interlocuteurs de l’entreprise étaient plus sensibles à un message sincère, fiable et juste qu’à une abondance de signaux ? » Visiblement plus facile à dire qu’à faire…
ben pourtant ils suivent leurs recommandations là : pas d’abondance de signaux… en faisant le mort ils sont pile poil dans les clous
Ils restent sincère et fiable : ils ne savent encore rien, ils ne disent rien : CQFD.
“Bonjour, je viens vous vendre du conseil en sécurité informatique, ça va vous coûter un bras mais vous pouvez avoir confiance en nous, nous sommes des pros….”
Ca serait les Big Fours
J’ai la flemme de chercher le lien lmgtfy donc voila :https://en.wikipedia.org/wiki/Big_Four_accounting_firms
Il faut auditer le cabinet d’audit, puis auditer l’auditeur du cabinet d’audit, etc : monnaie infiniiiiiee
" />
Pourquoi répondre cela à mon message qui avait un contexte que tu as manifestement ignoré ?
Je parlais de l’admin !! Pas moi, petit gredin. D’ailleurs il y a même les conversations skype sur outlook maintenant alors à part le téléphone…. et encore…
Et ils ont réussi à faire 38 milliards de chiffre d’affaire… A ouais… ça fait cher la consultation….
Et c’est drôle parce que, les trois quarts du temps, c’est vrai.
Je pense que quand tu n’as pas travaillé en société de service, c’est difficile de s’imaginer le fossé entre l’image de l’entreprise chez les clients et ce qu’il se passe en interne.
J’en ai connu qui installaient des infras hors de prix et dans lesquelles on luttait pour monter un pc avec des pièces reconditionnées, d’autres qui vendent de la sécu +++ avec des gens qui avaient super rapidement accès aux données des clients, d’autres qui vendaient de l’ITIL et compagnie et qui n’avaient eux-mêmes pas d’outil de suivi des tickets…. Mais bon c’est pas ton entreprise que tu factures donc l’infra interne, tant que ça tourne personne ne met les mains dedans.
Ouais, ou les médecins qui fument…
De toute façon, ce genre de boîtes c’est 100% de l’esbrouffe, et y’a qu’à voir le résultat…