Nous ne connaissons pas encore la ou les causes profondes qui ont forcé Marriott cette semaine pour divulguer une violation de quatre ans impliquant les informations personnelles et financières de 500 millions d’invités de son Starwood propriétés hôtelières. Mais chaque fois que nous voyons une intrusion aussi colossale passer inaperçue pendant si longtemps, la cause ultime est généralement un échec à adopter le principe le plus important en matière de défense de la cybersécurité qui s’applique à la fois aux entreprises et aux consommateurs : supposez que vous êtes compromis.
AUX ENTREPRISES
Pour les entreprises, ce principe signifie accepter l’idée qu’il n’est plus possible d’exclure complètement les méchants de vos réseaux. Cela ne signifie pas abandonner tous les principes de la défense traditionnelle, tels que l’application rapide de correctifs logiciels et l’utilisation de technologies pour bloquer ou au moins détecter les infections par des logiciels malveillants.
Cela signifie accepter que malgré le nombre de ressources que vous dépensez pour empêcher les logiciels malveillants et les malfaiteurs d’entrer, tout cela peut être annulé en un éclair lorsque les utilisateurs cliquent sur des liens malveillants ou tombent dans des attaques de phishing. Ou une faille de sécurité jusque-là inconnue est exploitée avant de pouvoir être corrigée. Ou l’une des myriades d’autres façons dont les attaquants peuvent gagner simplement en ayant raison une fois, alors que les défenseurs doivent avoir raison 100% du temps.
Les entreprises dirigées par des dirigeants et des membres de conseils d’administration dotés d’une maturité de sécurité avancée investissent dans des moyens d’attirer et de retenir davantage de talents en cybersécurité, et d’organiser ces défenseurs dans une posture qui assume les méchants volonté Montez.
Cela implique non seulement de se concentrer sur la prévention des violations, mais au moins également sur la détection et la réponse aux intrusions. Cela commence par l’hypothèse que ne pas réagir rapidement lorsqu’un adversaire prend pied, c’est comme permettre à une minuscule cellule cancéreuse de se métastaser en une maladie beaucoup plus grave qui, non détectée pendant des jours, des mois ou des années, peut coûter cher à tout l’organisme.
Les entreprises dont les dirigeants sont les plus avertis paient des chasseurs de menaces pour rechercher des signes de nouvelles intrusions. Ils sont en train de remanier l’organigramme afin que les personnes en charge de la sécurité relèvent du conseil d’administration, du PDG et/ou du directeur des risques – n’importe qui sauf le directeur de la technologie.
Ils testent constamment leurs propres réseaux et employés pour détecter les faiblesses, et forment régulièrement leur préparation à la réponse aux violations (un peu comme un exercice d’incendie). Et, à propos de la violation de Marriott, ils trouvent des moyens créatifs de réduire le volume de données sensibles qu’ils doivent stocker et protéger.
AUX PARTICULIERS
De même pour les individus, il est payant d’accepter deux réalités malheureuses et dures :
Réalité #1 : Les malfaiteurs ont déjà accès à des points de données personnelles qui, selon vous, devraient être secrets, mais qui ne le sont pas, y compris les informations de votre carte de crédit, votre numéro de sécurité sociale, le nom de jeune fille de votre mère, votre date de naissance, votre adresse, vos adresses précédentes, votre numéro de téléphone et oui — même votre dossier de crédit.
Réalité #2 : Tout point de données que vous partagez avec une entreprise finira selon toute vraisemblance par être piraté, perdu, divulgué, volé ou vendu, généralement sans faute de votre part. Et si vous êtes un Américain, cela signifie (au moins pour le moment) que votre recours pour faire quoi que ce soit à ce sujet lorsque cela se produit est limité ou nul.
Marriott offre aux consommateurs concernés une année de service d’une société appartenant à une société de sécurité Kroll qui annonce la capacité de parcourir les marchés souterrains de la cybercriminalité pour vos données. Devriez-vous accepter cette offre ? Cela ne peut probablement pas faire de mal tant que vous ne vous attendez pas à ce qu’il empêche une sorte de mauvais résultat. Mais une fois que vous avez accepté les Réalités #1 et #2 ci-dessus, il devient clair qu’il n’y a rien de ces services qui pourraient vous dire que vous ne sachiez déjà.
Une fois que vous avez possédé ces deux réalités, vous vous rendez compte qu’attendre d’une autre entreprise qu’elle protège votre sécurité est une course folle, et qu’il est beaucoup plus logique de se concentrer plutôt sur tout ce que vous pouvez pour empêcher de manière proactive les voleurs d’identité, les pirates informatiques malveillants ou d’autres ne’er-do-wells d’abuser de l’accès à ces données.
Cela implique de supposer que tous les mots de passe que vous utilisez sur un site finiront par être piratés et divulgués ou vendus en ligne (voir Réalité #2), et que par conséquent, c’est une très mauvaise idée de réutiliser les mots de passe sur plusieurs sites Web. Par exemple, si vous avez utilisé votre mot de passe Starwood ailleurs, cet autre compte sur lequel vous l’avez utilisé présente désormais un risque beaucoup plus élevé d’être compromis.
Au fait, si vous êtes le genre de personne qui aime réutiliser les mots de passe, alors vous devez absolument utiliser un gestionnaire de mots de passe, qui vous aide à choisir et à mémoriser des mots de passe/phrases de passe forts et vous permet essentiellement d’utiliser le même mot de passe/phrase de passe maître fort sur tous les sites Web.
le « supposons que vous êtes compromis » consiste à geler vos dossiers de crédit auprès des principaux bureaux de crédit et à commander régulièrement des copies gratuites de votre dossier de crédit auprès de rapportannueldecredit.com pour s’assurer que personne ne joue avec votre crédit (sauf vous).
Cela signifie planter votre drapeau sur divers services en ligne avant que les fraudeurs ne le fassent pour vous, comme la Social Security Administration, le US Postal Service, l’Internal Revenue Service, votre fournisseur de téléphonie mobile et votre fournisseur de services Internet (ISP).
Supposer un compromis signifie placer très peu de confiance dans tout ce qui vous parvient par e-mail. Dans le contexte de cette violation de Marriott/Starwood, par exemple, considérez tous les points de données dont les attaquants peuvent désormais disposer pour rendre une attaque de phishing ou de logiciel malveillant plus susceptible de réussir : votre numéro de compte Starwood, votre adresse, votre numéro de téléphone, votre adresse e-mail, numéro de passeport, dates et heures de vos réservations et informations de carte de crédit.
Serait-il difficile pour quelqu’un de rédiger un e-mail avertissant d’un problème avec une réservation récente ou avec votre compte Starwood, vous invitant à cliquer sur un lien ou une pièce jointe piégés pour en savoir plus ? Imaginez maintenant que de tels e-mails ciblés peuvent provenir de n’importe quelle marque avec laquelle vous avez fait affaire (pour un rappel, voir Réalité #2 au dessus).
Supposer que vous êtes compromis signifie renforcer vos mots de passe en adoptant authentification multifacteur plus robuste – et peut-être même de passer des SMS/messages texte à plusieurs facteurs à des options plus sécurisées basées sur des applications ou des clés.
DES COMPROMIS DIFFICILES
Si les conseils ci-dessus semblent gênants, injustes et coûteux pour toutes les personnes impliquées, félicitations : vous êtes sur la bonne voie pour intérioriser les Réalités #1 et #2. Pour le meilleur ou pour le pire, être un consommateur avisé signifie constamment devoir faire des compromis difficiles entre sécurité, confidentialité et commodité.
Oh, et vous ne pouvez généralement choisir que deux de ces trois qualités. Il en va de même pour le trio de haut débit, de haute qualité et à faible coût. Ou bon, rapide et pas cher. Encore une fois, choisissez-en deux. Vous avez eu l’idée.
Malheureusement, ces transactions deviennent encore plus déséquilibrées et difficiles à peser lorsqu’une partie à celles-ci choisit toujours le même compromis (par exemple, rapide, peu coûteux et pratique). À l’heure actuelle, il semble bien qu’il n’y ait pas beaucoup de conséquences lorsque d’énormes entreprises qui devraient savoir mieux bousiller massivement la sécurité, laissant les consommateurs et leurs clients payants nettoyer le gâchis.
Je ne sais pas combien d’autres débâcles importantes en matière de confidentialité et de sécurité nous avons besoin pour convaincre les dirigeants de notre pays que nous devrions peut-être inscrire dans la loi certaines normes de base sur la manière dont les entreprises gèrent et sécurisent les données des consommateurs, et quels droits et attentes les consommateurs devraient avoir lorsque les entreprises ne respectent pas ces normes. Parce qu’il est clair qu’à moins que cela ne se produise et jusqu’à ce que cela se produise, certains sous-ensembles d’entreprises continueront à faire les compromis les plus rapides et les plus à courte vue à leur disposition, quel que soit l’impact sur leurs clients et le grand public.
Sur ce point, comme pour beaucoup d’autres liés à la sécurité et à la confidentialité d’Internet, j’ai eu du mal à discuter avec l’opinion de mon pays d’origine. Le sénateur Mark Warner (D-Va.), qui a observé :
« Il semble que tous les deux jours, nous apprenions une nouvelle méga-violation affectant les données personnelles de millions d’Américains. Plutôt que d’accepter cette tendance comme la nouvelle normalité, ce dernier incident devrait renforcer la détermination du Congrès. Nous devons adopter des lois qui exigent la minimisation des données, en veillant à ce que les entreprises ne conservent pas les données sensibles dont elles n’ont plus besoin. Et il est plus que temps que nous promulguions des lois sur la sécurité des données qui garantissent que les entreprises rendent compte des coûts de sécurité plutôt que de faire supporter à leurs consommateurs le fardeau et les dommages résultant de ces manquements.