Comme vous le savez peut-être, Accenture – le géant des services informatiques – a placé par inadvertance un important volume de données sensibles sur des serveurs non sécurisés.
Avis d’expert – Plusieurs milliers de mots de passe et de codes de chiffrement – dont certains au format texte – hébergés sur les serveurs d’Amazon S3, ont ainsi été exposés – accessibles à tout individu connaissant l’adresse du serveur web d’Accenture. L’incident aurait pu livrer les clés du géant de la tech aux hackers, nuisant à la fois à l’entreprise et à ses clients.
Cédric Gestes, co-fondateur et CTO de Tanker – solution de sécurisation des données hébergées sur le Cloud via le chiffrement de bout en bout – pointe plusieurs dysfonctionnements ayant mené à cet incident :
“Il nous semble très risqué pour un pilier de la stratégie et du conseil tel qu’Accenture d’héberger ses clés ainsi que celles de ses clients sur un seul et unique serveur, sans chiffrement. De plus, le serveur étant directement connecté au réseau – sans air gap – il aurait suffi d’un seul faux pas pour que le serveur soit exposé sur la Toile. Si Accenture utilisait le chiffrement de bout en bout, cette erreur aurait pu être évitée, puisque le serveur aurait été sécurisé by design. Toutes les clés de chiffrement de l’entreprise et de ses clients auraient ainsi été inaccessibles, même par les tentatives de piratage les plus sophistiquées“, explique-t-il.
Cette révélation intervient moins d’un mois après le piratage d’Equifax, dû à une faille interne et deux semaines après l’annonce de celui du système interne de Deloitte. Le cabinet Accenture lui-même, dans une étude publiée aujourd’hui à l’occasion de l’ouverture des Assises de la sécurité, estime à 11,7 millions de dollars par an le coût moyen de la cybercriminalité*. De quoi prouver une fois encore la nécessité de faire du chiffrement de bout en bout by design un standard de sécurité pour les éditeurs SaaS.
* Cost of Cyber Crime Study, Ponemon Institute pour Accenture