Ce que la faille de sécurité de LastPass nous apprend sur la conformité en 2026

Le RGPD a toujours été conçu pour être vague. En n'énumérant pas de contrôles techniques prescriptifs – comme le fait par exemple la norme PCI DSS –, il parvient mieux à rester pertinent dans le temps. Cependant, son principe de « neutralité technologique » peut aussi être source de frustration pour les équipes de conformité. Pour des orientations plus pragmatiques, beaucoup se tournent vers des normes de bonnes pratiques telles que l'ISO 27001:2022, qui préconise une approche structurée et axée sur les risques en matière de cybersécurité.

Pourtant, comme l'ont montré les violations de données chez LastPass et d'autres organisations, ce n'est pas une solution miracle – surtout si les équipes n'abordent pas la conformité dans un esprit d'examen et d'amélioration continus.

Qu'est-il arrivé à LastPass ?

La faille de sécurité de LastPass en 2022 aurait exposé les données d'environ 30 millions de clients dans le monde, dont 1.6 million au Royaume-Uni. Il s'agissait, de loin, d'une attaque relativement sophistiquée, qui s'est déroulée en deux phases distinctes :

• Un pirate informatique a compromis l'ordinateur portable d'un ingénieur logiciel, obtenant ainsi l'accès à une clé SSE-C. En théorie, il aurait pu l'utiliser pour accéder aux sauvegardes de données clients, y compris aux coffres-forts de mots de passe chiffrés. Cependant, la clé était chiffrée et l'accès complet à la base de données nécessitait également une seconde clé d'accès AWS.
• Un pirate a exploité une faille de sécurité du service de streaming vidéo Plex, installé sur l'ordinateur portable personnel d'un ingénieur en opérations de développement senior. Cette faille lui a permis d'installer un enregistreur de frappe (keylogger), puis de déchiffrer la clé SSE-C et d'obtenir la clé d'accès AWS. Il a ainsi pu accéder aux coffres-forts numériques de mots de passe chiffrés.

Comme les mots de passe principaux de ces coffres-forts étaient stockés localement sur les appareils des clients et jamais partagés avec LastPass, ils auraient dû être protégés. Cependant, une mauvaise implémentation de l'algorithme PBKDF2 a permis à d'innombrables mots de passe d'être piratés par force brute au cours des années qui ont suivi la faille, ce qui a conduit à un nombre estimé de pertes. 35 millions de dollars de vol de cryptomonnaies.

Ce qu'a déclaré l'ICO

Le Bureau du commissaire à l'information (ICO) LastPass condamné à une amende de 1.2 million de livres sterling pour son « manquement à l’obligation de mettre en œuvre et d’utiliser des mesures techniques et organisationnelles appropriées, contrairement à l’article 5(1)(f) du RGPD britannique et à l’article 32(1) ». Plus précisément, l’entreprise a autorisé des ingénieurs seniors à utiliser des ordinateurs portables personnels pour accéder aux clés de production, elle a permis aux employés de lier des coffres-forts personnels et professionnels avec le même mot de passe principal et elle n’a pas renouvelé les clés AWS après le premier incident.

L’autorité de régulation a pourtant reconnu que la conformité à la norme ISO 27001:2022 aurait dû impliquer que l’entreprise suive les recommandations de l’ICO en matière de sécurisation des appareils utilisés à domicile et de séparation des appareils et comptes personnels et professionnels. Manifestement, ce ne fut pas le cas.

« LastPass n’est pas un cas isolé. Selon une étude récente, plus d’un quart (26 %) des professionnels de la protection de la vie privée estiment que leur organisation risque de subir une violation importante de données personnelles au cours de l’année à venir. Ce niveau de risque tend à devenir la norme », explique Chris Dimitriadis, directeur de la stratégie mondiale d’ISACA, à IO (anciennement ISMS.online).

« Le respect des normes telles que l’ISO 27001 est essentiel, mais ne constitue qu’un point de départ. La faille de sécurité chez LastPass met en lumière une réalité incontournable : la protection des données et la confidentialité ne sauraient se résumer à une simple formalité. Les organisations doivent aller au-delà de la conformité minimale et procéder à des évaluations globales de leurs capacités et de leur maturité en matière de sécurité. »

Se déplacer avec le Times

LastPass n'est pas la première entreprise, et ne sera certainement pas la dernière, à subir une grave violation de données malgré sa certification aux meilleures pratiques. Parmi les autres cas notables :

• 23andMeLa société de tests ADN a été condamnée à une amende de 2.3 millions de livres sterling par l'ICO suite à une faille de sécurité ayant touché des millions de clients. Elle n'avait pas rendu obligatoire l'authentification multifacteurs (AMF) pour ses utilisateurs, ne surveillait pas suffisamment les activités inhabituelles et a permis à des cybercriminels d'exploiter une fonctionnalité interne (DNA Relatives) pour accéder à un nombre de comptes supérieur à celui auquel ils auraient dû avoir accès.
• Groupe InterserveL'entreprise de sous-traitance a été condamnée à une amende de 4.4 millions de livres sterling suite à une fuite de données concernant ses employés. Bien que l'intrusion ait été signalée par son système de protection des terminaux, elle n'a pas mené d'enquête.

Des cas comme celui-ci ne mettent pas en évidence les lacunes de normes telles que l'ISO 27001. Ils prouvent simplement que de nombreuses organisations n'abordent toujours pas les programmes de conformité avec la bonne approche.

« Bien que les normes ISO 27001, SOC 2 et autres constituent une excellente base éprouvée pour évaluer la sécurité des informations en entreprise, elles ne sont pas – et n’ont jamais été – conçues comme une garantie qu’une entreprise est inviolable ou que 100 % des politiques et procédures sont correctement appliquées », explique Ilia Kolochenko, PDG d’ImmuniWeb.

« De plus, même si toutes les politiques et procédures sont dûment respectées, cela ne signifie ni n’implique que les processus sous-jacents soient techniquement irréprochables. »

Dennis Martin, spécialiste en gestion de crise et en résilience d'entreprise chez Axians UK, une société de services technologiques, ajoute que la conformité aux normes n'est utile que lorsque les dirigeants insistent sur le fait que les contrôles fonctionnent en pratique.

« Les mesures de sécurité doivent être testées, validées et remises en question régulièrement. Les hypothèses et les processus documentés ne sauraient remplacer les preuves. Une approche basée sur la méfiance et le test est essentielle pour les organisations qui souhaitent avoir confiance en leur niveau de sécurité », explique-t-il à IO (anciennement ISMS.online).

« La conformité efficace est un processus continu. Les menaces évoluent, les opérations commerciales changent et les contrôles se dégradent avec le temps. Un examen et une amélioration réguliers sont nécessaires pour garantir que ce qui est écrit reflète toujours la réalité. »

Progrès continu

En fait, la norme ISO 27001:2022 « reconnaît explicitement » que la sécurité ne doit pas rester statique, explique Didier Vandenbroeck, vice-président de la sécurité chez Oleria, à IO.

« Un principe fondamental de la norme est l’amélioration continue, les auditeurs devant signaler les possibilités d’amélioration lorsque les contrôles peuvent être techniquement conformes mais ne plus être adaptés à l’évolution du paysage des menaces », explique-t-il.

« Lorsque la certification se réduit à une simple formalité, ce principe disparaît. Les certificats sont finalement dénués de sens si les organisations ne les appliquent pas dans la pratique ou si elles ne s'interrogent pas sur la pertinence des contrôles existants compte tenu des méthodes de travail réelles et des modes opératoires des attaquants. »

Sam Peters, directeur des opérations chez IO, est d'accord.

« C’est pourquoi les cadres et les normes sont plus efficaces lorsqu’ils sont considérés comme des systèmes de gestion vivants, de véritables modèles opérationnels de gestion des cyber-risques, plutôt que comme des étapes de conformité statiques », explique-t-il à IO.

« Le principe d’amélioration continue, intégré par des revues, des remises en question et des adaptations régulières, est au cœur de notre approche chez IO depuis sa création et reflète les attentes croissantes des organismes de réglementation. Utilisés de cette manière, les référentiels offrent aux organisations une base solide pour gérer les cyber-risques dans un environnement en constante évolution, plutôt qu’une simple vérification de la conformité à un instant T. »

Une telle approche est particulièrement importante pour la gestion des risques liés au RGPD à un moment où les régulateurs accordent une importance croissante au contexte.

« Les autorités réglementaires indiquent très clairement que les “mesures techniques et organisationnelles appropriées” doivent être comprises comme contextuelles et évolutives, et non comme fixes ou statiques. Ce qui est jugé approprié variera en fonction de facteurs tels que l’exposition au risque, la sensibilité des données et le contexte des menaces, et est de plus en plus souvent évalué après la survenue d’un incident », conclut-il.

« Concrètement, cela signifie que les organismes de réglementation s’intéressent moins à l’adoption d’un cadre et davantage à son utilisation efficace pour identifier, examiner et gérer les risques liés à la sécurité de l’information au fil du temps. »