Alors qu’Optus est poursuivi en justice, qu’est-ce qui s’est mal passé et quelles leçons pouvons-nous en tirer ?

La justice avance parfois lentement. C'est le cas en Australie, où l'autorité de régulation de la vie privée a a finalement déposé une procédure de sanction civile contre le géant des télécommunications Optus pour une violation de données survenue en 2022, qui résonne encore aujourd'hui.

La Cour fédérale peut imposer une sanction civile pouvant atteindre 2.2 millions de dollars australiens (1.1 million de livres sterling) pour chaque infraction, et le Commissaire australien à l'information (AIC) allègue une infraction pour chacune des 9.5 millions de personnes dont Optus aurait « gravement porté atteinte à la vie privée ». Bien que hautement improbable, cela représente une amende maximale théorique de plus de 20 000 milliards de dollars australiens (9 800 milliards de livres sterling).

Mais ce qui est sans doute plus important que l’issue de l’affaire, c’est ce que les entreprises locales peuvent apprendre de l’incident – ​​en termes de gestion des données et de gouvernance des risques.

Une brèche qui a secoué l'Australie

L'incident remonte à septembre 2022, lorsqu'un acteur malveillant a réussi à accéder aux données personnelles de millions de clients du deuxième opérateur de télécommunications d'Australie. Parmi ces données figuraient :

• Noms, dates de naissance, adresses personnelles, numéros de téléphone et adresses e-mail
• Numéros de passeport, numéros de permis de conduire, numéros de carte Medicare, informations sur les certificats de naissance et de mariage, et informations d'identification des forces armées, des forces de défense et de la police

L'AIC allègue qu'Optus « n'a pas pris de mesures raisonnables » pour protéger ces informations, citant la taille et les ressources de l'entreprise, le volume de données violées et le risque de préjudice pour les individus en cas de divulgation.

L'ampleur exacte du préjudice subi par les victimes est controversée. Bien que l'auteur de la menace, qui réclamait initialement une rançon d'un million de dollars (1 740,000 livres sterling), ait ensuite fait marche arrière et affirmé avoir supprimé les données, le mystère demeure quant à savoir si elles ont été vendues ou utilisées par des fraudeurs. En revanche, la pression émotionnelle qu'elles ont exercée sur d'innombrables Australiens et sur les organismes gouvernementaux chargés de rééditer leurs documents d'identité est manifeste.

L’indignation nationale provoquée par l’incident a inauguré un nouveau régime de cybersécurité avec des normes plus élevées amendes pour violation de données, et la première loi autonome du pays dans ce domaine : la Loi sur la cybersécuritéL'Autorité australienne des communications et des médias (ACMA) poursuit également Optus pour violation de la loi de 1979 sur les télécommunications (interception et accès).

Qu'est-il arrivé?

L'AIC est restée muette sur les détails de la violation. Cependant, les documents déposés dans le cadre de l'affaire ACMA, consultés par SecurityScorecard Raconter en détail ce qui s'est passé et ce qui a mal tourné. Le fournisseur de sécurité affirme que :

• L'acteur de la menace a eu accès aux données d'Optus via une API dormante et mal configurée
• L'API est devenue accessible sur Internet en 2020, mais ses contrôles d'accès sont devenus inefficaces en raison d'une erreur de codage introduite en 2018.
• Bien que des problèmes similaires aient été détectés et corrigés sur le domaine principal d'Optus en 2021, le sous-domaine contenant l'API a été laissé « exposé, non surveillé et non corrigé »
• L'acteur de la menace a pu interroger les dossiers clients sur plusieurs jours, en parcourant des dizaines de milliers d'adresses IP pour échapper à la détection.

Outre le problème de sécurité lui-même, des interrogations ont été soulevées quant aux raisons de la violation de millions de données concernant d'anciens clients. Les bonnes pratiques de minimisation des données indiquent que nombre d'entre elles auraient dû être supprimées. Il y avait également plaintes concernant les efforts de communication de crise d'OptusL'entreprise a d'abord affirmé avoir été victime d'une « attaque sophistiquée », ce qui a ensuite été contesté par des experts. Certains se sont ensuite plaints de la lenteur de l'entreprise à communiquer des informations importantes à ses clients inquiets, à présenter ses excuses et à assumer ses responsabilités, ainsi qu'à fournir des conseils pratiques aux personnes concernées.

« La faille de sécurité d'Optus nous rappelle clairement que la gestion des cyberrisques comporte deux volets. Le premier concerne le développement logiciel lui-même : l'identification et la gestion des risques avant, pendant et après la mise en service du code. Un logiciel non sécurisé ou une mauvaise configuration peuvent avoir des conséquences majeures lorsque les informations client sont en jeu », explique Mac Moeun, directeur de Patterned Security, à ISMS.online.

La deuxième étape est la gestion de l'incident. Disposer d'un plan de reprise après sinistre éprouvé, être transparent, communiquer rapidement et régulièrement, et expliquer clairement aux clients les conséquences de l'incident. Ces étapes vous offrent les meilleures chances de conserver la confiance de vos clients.

Quelles leçons pouvons-nous en tirer ?

La faille de sécurité d'Optus a été la première d'une longue série d'incidents majeurs qui ont secoué l'Australie, notamment Medibank et Latitude Financial. Mais, étant la première et l'une des pires, elle constitue un avertissement pour beaucoup. La société mère, Singtel. mettre de côté 140 millions de dollars australiens (68.5 millions de livres sterling) pour couvrir le coût des retombées, et il y a eu des rapports selon lesquels taux de désabonnement important de la clientèle suite à l'incident.

D’un point de vue purement technique, les RSSI devraient prendre en compte :

• Suivi des risques de sécurité potentiels tels que les API dormantes et les actifs non gérés
• Déploiement d'une surveillance basée sur le comportement pour signaler toute activité suspecte (comme la rotation IP)
• La minimisation des données comme meilleure pratique, garantissant que tout ce dont l'organisation n'a plus besoin est supprimé
• Pratiques de codage sécurisées (DevSecOps), y compris l'analyse automatisée

Ryan Sherstobitoff, responsable du renseignement sur les menaces chez SecurityScorecard, explique à ISMS.online : « La faille Optus met en évidence la nécessité d'inventaires et d'audits stricts des API (y compris des points de terminaison dormants), d'un codage sécurisé avec une analyse continue des vulnérabilités, de politiques strictes de conservation/suppression des données et d'une détection avancée des anomalies pour détecter les tactiques d'attaque peu sophistiquées mais efficaces. »

Par ailleurs, l'AIC met l'accent sur la nécessité de contrôles de sécurité multicouches, d'une propriété claire des domaines, d'une surveillance rigoureuse de la sécurité et d'évaluations régulières. Cependant, les organisations peuvent sans doute aller plus loin. Une réponse plus globale consisterait à mettre en œuvre des normes de bonnes pratiques telles que les normes ISO 27001 et 27701 (pour la mise en œuvre respective d'un système de gestion de la sécurité de l'information et d'un système de gestion de la confidentialité des informations).

Elles offrent un cadre complet, basé sur les risques, pour la gestion et la protection des données sensibles, y compris les informations personnelles identifiables (IPI). La mise en conformité permettra aux organisations de comprendre quelles données elles gèrent, où se situent les éventuelles failles de sécurité et quels contrôles et processus permettront de les combler. Point essentiel, ces normes encouragent la surveillance et l'amélioration continues, afin que les organisations conformes s'adaptent efficacement à l'évolution de l'infrastructure informatique, aux tendances en matière de menaces et à d'autres facteurs.

« Ces cadres ISMS fournissent des contrôles structurés et auditables pour la gestion des actifs, le développement sécurisé, la surveillance et la gouvernance du cycle de vie des PII, aidant les organisations à appliquer les principes de confiance zéro, à minimiser l'exposition des données et à éviter les angles morts de codage ou de conservation à long terme », explique Sherstobitoff.

La faille de sécurité d'Optus remonte peut-être à trois ans, mais elle continue de peser sur les entreprises australiennes. Si davantage de personnes tirent les leçons des erreurs du passé, ce serait une bonne chose.