Apprendre d'Oracle : ce qu'il ne faut pas faire après une violation de données

Par Danny Bradbury • 27 mai 2025

Le premier semestre de cette année n'a pas été une période faste pour Oracle et ses clients. L'entreprise a subi deux graves violations de données. Ce problème est déjà suffisamment grave en soi, mais le véritable problème réside dans la manière dont elle a géré ces intrusions.

Les experts ont fustigé le géant de la base de données pour ses mauvaises pratiques en matière de divulgation des violations, notamment son manque de communication et la déformation du message lorsqu'il a avoué.

Violation numéro un

Les problèmes de l'entreprise ont commencé mi-février, lorsqu'elle a appris que des attaquants avaient accédé aux données des serveurs de Cerner, la société de dossiers médicaux électroniques. Cerner, acquise par Oracle pour 28 milliards de dollars en 2022, avait un contrat en cours avec le Département des Anciens Combattants des États-Unis. Oracle a été informé de l'attaque environ un mois après qu'elle a eu lieu.

A recours collectif Une plainte déposée contre Oracle fin mars a réprimandé l'entreprise pour avoir mal géré l'incident.

« L'absence de notification aggrave la situation des victimes de la violation de données », a déclaré la plainte, se plaignant de n'avoir informé personne de l'incident ni indiqué si elle avait pu contenir la menace. Elle n'a pas non plus expliqué comment l'intrusion s'était produite.

Une autre brèche frappe

Puis, une deuxième faille a été découverte. Le 21 mars, l'entreprise de cybersécurité CloudSEK découvert un acteur malveillant appelé « rose87168 » vendant les données en ligne.

Les données ont été volées à 140,000 11 locataires cloud concernés, selon son fournisseur criminel et secret, qui prétendait avoir pénétré le système via un point de connexion Oracle Cloud. CloudSEK a découvert qu'ils avaient exploité une instance d'Oracle Fusion Middleware 2014G, dont le dernier correctif datait de XNUMX. Les actifs volés comprennent des fichiers Java Key Store contenant des certificats cryptographiques, ainsi que des mots de passe et des fichiers de clés d'authentification unique chiffrés.

C'est un problème sérieux pour les clients, mais Oracle n'a apparemment divulgué quasiment aucune information au début de la faille, se contentant d'affirmer qu'elle n'affectait que les serveurs hérités. dit Bleeping Computer : « Oracle Cloud n'a subi aucune violation. Les identifiants publiés ne concernent pas Oracle Cloud. Aucun client Oracle Cloud n'a subi de violation ni perdu de données. »

Cependant, les experts ne sont pas d'accord. rose87168 a mis un échantillon des données à la disposition d'Alon Gal, cofondateur du cabinet de conseil en sécurité Hudson Rock. Gal contacté Les entreprises figurant sur la liste ont vérifié les données. Les clients ont affirmé que les fichiers prétendument issus d'Oracle Cloud étaient légitimes.

CloudSEK également a publié un article de suivi prouvant que le point final rose87168 a pris le relais était une entité de production.

Oracle a finalement contacté certains clients en privé pour signaler un incident de sécurité sur ses serveurs Gen 1. Ces serveurs sont d'anciennes machines qui hébergent désormais Oracle Cloud Classic. Les serveurs Gen 1, qui offrent des fonctionnalités supplémentaires, sont appelés Oracle Cloud.

Tout cela signifie que si l'on suit à la lettre le démenti d'Oracle, seuls les serveurs Oracle Cloud Classic ont été piratés, et non les serveurs Oracle Cloud. Cependant, nous pensons que le marché, dans son ensemble, aurait préféré une discussion ouverte et approfondie sur ce qui s'était passé plutôt que de traiter avec un fournisseur muet qui n'a révélé que le strict minimum d'informations.

Qui a supprimé la page archivée ?

C'est là que les choses se compliquent particulièrement. rose87168 avait également téléchargé un fichier texte sur le terminal Oracle compromis et publié une capture d'écran pour prouver qu'il contrôlait l'actif. Un instantané de la preuve de compromission était stocké sur Wayback Machine, un service hébergé par Internet Archive. Ce service conserve des copies de sites web pour la postérité après leur disparition. Cependant, cette page archivée aurait été enlevé en utilisant le processus d'exclusion des Archives.

« Oracle tente activement de dissimuler les preuves d'une intrusion », a déclaré le chercheur en sécurité Jake Williams dans son article annonçant le démantèlement de X. « En 1990, quelqu'un applique les méthodes de compromission des années 2025. »

Nous ne pouvons pas prouver qui a supprimé cette page, mais toute cette affaire est néanmoins une excellente leçon sur la façon de ne pas gérer une violation de données de la part d'une entreprise déterminée à protéger sa marque. se précipite pour accroître sa part de marché du secteur lucratif du cloud computing.

Comment le faire correctement

Alors, comment gérer la divulgation d'une violation ? Des référentiels tels que le Guide de gestion des incidents de sécurité informatique du NIST et la norme ISO 27001 proposent des lignes directrices générales pour la communication des incidents. Les points clés sont les suivants :

Communiquez rapidement et avec précision : Informez les parties concernées dès que possible, dès qu'un incident est confirmé et que son ampleur est comprise. La réglementation exige désormais souvent au moins un premier rapport dans un délai serré, et cela devient obligatoire dans de nombreux cas.

Coordonnez votre réponse : Assurez-vous que vos communications soient factuelles et coordonnées afin que personne ne révèle quoi que ce soit qui n'ait été confirmé. Pour ce faire, déterminez à l'avance qui s'adressera aux différentes parties prenantes, notamment les clients, les autorités de réglementation, les employés, les sous-traitants et la presse. Transmettre les messages par leur intermédiaire garantit que chacun comprend la chaîne de communication interne.

Sachez quoi communiquer : Même si tout ne sera pas disponible dès le début, les notifications devraient inclure un résumé de l'incident, ainsi que les données compromises et les mesures prises pour atténuer le problème et éviter qu'il ne se reproduise. Les personnes concernées doivent également savoir comment se protéger.

Ne communiquez pas trop peu : Toutes les informations ne seront pas divulguées immédiatement, mais soyez aussi franc que possible et communiquez de bonne foi. Comme le souligne la FTC : « Ne faites pas de déclarations trompeuses concernant la violation. Et ne cachez pas d'informations essentielles qui pourraient aider les consommateurs à se protéger et à protéger leurs informations. » Nous recherchons une communication ouverte, et non des manipulations. Ne considérez pas cette procédure comme un processus contradictoire.

Définir des modèles de communication : L'élaboration de modèles de messages pré-approuvés contribue à assurer une communication fluide et cohérente. La FTC a un exemple.

S'aligner sur les régulateurs : Chaque juridiction (internationale, nationale et locale) a ses propres règles concernant la manière et le moment d'informer les différentes parties prenantes. Il en va de même pour chaque secteur d'activité. Collaborez avec vos avocats pour vous assurer de les respecter.

Restez responsable : Comme dans la vie de tous les jours, les adultes attendent de chacun qu'il reconnaisse ses erreurs et les corrige. Assurez-vous que vos clients bénéficient d'un soutien adéquat. Cela peut inclure une communication efficace et une aide spécifique pour la résolution des failles, notamment des outils de protection. Il est révélateur que CloudSEK, et non Oracle, ait mis au point un outil permettant aux entreprises de déterminer si leurs données figuraient sur la liste des enregistrements volés.

Ce n'est pas la première fois qu'Oracle est critiqué pour sa gestion des problèmes de cybersécurité. Parmi ces critiques, on peut citer : réponses lentes aux rapports de failles de sécurité dans ses produits et à la diatribe du CSO contre les chercheurs en sécurité qui lui envoient des rapports de bogues, qui ont eu un tel écho que l'entreprise Supprimé. L'organisation a clairement sa propre façon de faire les choses, et nous sommes sûrs que ce ne sera pas la dernière fois qu'elle provoquera la consternation dans l'industrie technologique.

Danny Bradbury

Danny Bradbury est journaliste de presse écrite spécialisé en technologie depuis 1989 et écrivain indépendant depuis 1994. Il a écrit pour des publications nationales des deux côtés de l'Atlantique et a remporté des prix pour son travail de journalisme d'investigation sur la cybersécurité.

Lire la suite de Danny Bradbury

La cyber-sécurité 5er Février 2026.

Pourquoi les régulateurs et les investisseurs attendent des entreprises qu'elles prennent en compte le triple risque (blog)

Pourquoi les organismes de réglementation et les investisseurs attendent des entreprises qu'elles prennent en compte un triple risque

Les organisations s'inquiètent des risques liés à la sécurité et à la confidentialité. Plus récemment, elles se sont intéressées aux risques liés à l'IA. Mais à quelle fréquence pensent-elles à tous les aspects…

Danny Bradbury

La cyber-sécurité 15 Janvier 2026

De la sécurité périmétrique à l'identité comme bannière de sécurité

De la sécurité périmétrique à la sécurité de l'identité

Impossible aujourd'hui de jeter un œil à un événement de sécurité sans tomber sur l'expression « confiance zéro ». C'est un mot à la mode, certes…

Danny Bradbury

La cyber-sécurité 18 December 2025

Comment s'y retrouver dans le labyrinthe de la conformité en matière d'IA aux États-Unis

En matière de réglementation, le terme « États-Unis » est un oxymore. Les lois des États sont loin d'être unifiées, chaque juridiction ayant ses propres traditions…

Danny Bradbury