Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Deloitte confirme avoir été piratée, mais manque de transparence

Faites ce que je dis, pas ce que je fais
Internet 5 min
Deloitte  confirme avoir été piratée, mais manque de transparence
Crédits : Павел Игнатов/iStock/Thinkstock

Comment réagir face à une cyberattaque ? C'est une des réponses que la société Deloitte se propose d'apporter aux entreprises. Elle a désormais l'occasion d'appliquer ses recommandations à elle-même... Une chose est sûre, elle ne fait pas preuve de la plus grande transparence.

Avec un chiffre d'affaires consolidé de 38,8 milliards de dollars sur son année fiscale 2017 (clôturée le 31 mai, en hausse de 2 milliards d'euros sur un an), Deloitte est l'un des plus gros cabinets d'audit et de conseil au monde. Il fait partie des « Big four » aux côtés d'Ernst & Young, KPMG et PricewaterhouseCoopers. La société propose son savoir-faire à de grands groupes et institutions.

Une partie de ses activités concerne les cybermenaces. « Depuis quelques années, la question n’est plus de savoir si vous subirez des cyberattaques, mais plutôt quand elles se produiront et quelle sera leur ampleur » explique à juste titre la société sur son site. Et elle ne croyait certainement pas si bien dire. 

En effet, nos confrères du Guardian révèlent qu'elle a été victime d'une cyberattaque « passée inaperçue depuis des mois », avec une fuite de données personnelles de certains de ses clients. La société confirme, mais ne communique que du bout des lèvres, principalement pour minimiser la portée de cet incident.

Un accès administrateur au serveur email... entre autres

Selon nos confrères, le ou les pirates ont eu accès au serveur email de la société (hébergé sur Azure Cloud Service de Microsoft) avec un compte administrateur, leur permettant potentiellement de récupérer cinq millions de messages qui y seraient stockés. Puisque la société propose des conseils dans de nombreux domaines (cybersécurité, acquisition, fiscalité, stratégie, etc.) on peut facilement imaginer les données extrêmement sensibles pouvant s'y trouver.

Le Guardian ajoute que l'accès au compte administrateur n'était protégé que par un mot de passe, sans une seconde étape d'identification, alors que c'est désormais considéré comme une protection de base, surtout pour des données aussi sensibles. Ce n'est pas tout, nos confrères en rajoutent encore une couche : les pirates auraient également pu accéder à des noms d'utilisateurs, mot de passe, adresse IP et architecture réseau de chez Deloitte. Seule bonne nouvelle dans ce déluge : les fuites de données ne concerneraient que les États-Unis.

La faille aurait été découverte en mars de cette année, mais les pirates auraient eu accès aux données depuis octobre ou novembre de l'année dernière, toujours selon les informations du Guardian. Hasard ou non du calendrier, Deloitte aurait demandé à ses employés américains de réinitialiser leur mot de passe en octobre 2016, comme le rapporte Brian Krebs sur son blog.

« Très peu de clients » concernés selon Deloitte

Deloitte n'a pour le moment fait aucune annonce officielle sur son site (ni sur les réseaux sociaux), mais a tout de même apporté des éléments de réponse à plusieurs de nos confrères, dont The Guardian et Reuters.

Dans les deux cas, elle confirme avoir été victime d'une cyberattaque, mais précise que « très peu de clients » sont concernés, sans détails supplémentaires. Tout juste savons-nous qu'ils ont été contactés. Le mutisme du cabinet ne s'arrête pas là : si des autorités compétentes ont évidemment été contactées après cette découverte, nous ne saurons pas lesquelles. 

Deloitte a évidemment procédé à un examen des traces laissées par le ou les pirates et affirme que les données exposées ne représenteraient qu'une « très petite partie » de ce qui a été annoncé... là encore sans donner aucun détail supplémentaire sur leur nombre. Les auteurs de cette cyberattaque ne sont pas encore connus.

De son côté, le Guardian indique qu'au moins six clients Deloitte auraient été informés par le cabinet d'un risque de fuite. La société ajoute par contre qu'il n'y a eu aucune interruption de service. De plus, suite à cette découverte, un « protocole de sécurité complet » a été mis en place avec l'aide d'experts internes et externes. 

A-t-elle mis près de six mois à mettre en lumière ce piratage, comme le rapporte The Guardian ? Deloitte n'apporte aucune réponse sur ce point. Selon Brian Krebs (citant une source proche du dossier), le cabinet ne saurait pas encore avec exactitude comment et quand se sont déroulés les faits. Pire, « les enquêteurs ne sont pas certains d'avoir expulsé les intrus du réseau », deux éléments à confirmer bien évidemment. Le problème étant que Deloitte ne donne pas d'information précise sur ces points. 

Une cyberattaque ? Quelle cyberattaque ?

Cette cyberattaque permet de voir en pratique comment Deloitte applique ses propres conseils. Sur son site, elle explique les grandes pistes : « Lorsque vous êtes victime d’une cyberattaque, vous devez pouvoir réagir rapidement, mobiliser les bonnes personnes, isoler l’incident et réparer tout dommage avec le moins de perturbations possible ».

À y regarder de plus près, on se rend compte que la transparence n'est pas vraiment une priorité dans le cas présent. Si Deloitte a donné des précisions à plusieurs de nos confrères, il s'agissait surtout pour l'entreprise de jouer les pompiers en affirmant que la portée est bien moins importante que ce que laisse entendre The Guardian. Par contre, aucune trace de cette missive sur les réseaux sociaux ou dans les communiqués de presse.

La transparence est pourtant un élément important menant à la confiance, comme l'explique elle-même la société sur son site Equation de la confiance : « Il devient nécessaire pour les organisations de répondre aux attentes de leurs parties prenantes en matière de transparence tout en préservant leurs orientations stratégiques ou leurs informations confidentielles. Cette tendance rend impérative la maîtrise des nouveaux canaux. Et si les interlocuteurs de l’entreprise étaient plus sensibles à un message sincère, fiable et juste qu’à une abondance de signaux ? » Visiblement plus facile à dire qu'à faire...

43 commentaires
Avatar de kwak-kwak INpactien
Avatar de kwak-kwakkwak-kwak- 26/09/17 à 12:28:52

Faut-il y voir ici une preuve du manque de sérieux de certaines prestations de consulting ?

Avatar de ColinMaudry Abonné
Avatar de ColinMaudryColinMaudry- 26/09/17 à 12:30:39

Ça se saurait ! :D

Avatar de LeJediGris Abonné
Avatar de LeJediGrisLeJediGris- 26/09/17 à 12:30:49

kwak-kwak a écrit :

Faut-il y voir ici une preuve du manque de sérieux de certaines prestations de consulting ?

:D
A trouzmille euros la journée... :cartonrouge: bravo !!

A+

Avatar de Just1_ Abonné
Avatar de Just1_Just1_- 26/09/17 à 12:34:51

Bref les pirates avaient accès à tout surtout pendant un très long laps de temps. 

:transpi:

ça fait un peu tâche...

Avatar de ndjpoye Abonné
Avatar de ndjpoyendjpoye- 26/09/17 à 12:45:14

"Lorsque vous êtes victime d’une cyberattaque, vous devez pouvoir réagir rapidement, mobiliser les bonnes personnes, isoler l’incident et réparer tout dommage avec le moins de perturbations possible" Mon dieu, quelle révélation. Sans eux, on y aurait pas pensé :transpi:

Édité par ndjpoye le 26/09/2017 à 12:46
Avatar de Patch INpactien
Avatar de PatchPatch- 26/09/17 à 12:50:45

ndjpoye a écrit :

"Lorsque vous êtes victime d’une cyberattaque, vous devez pouvoir réagir rapidement, mobiliser les bonnes personnes, isoler l’incident et réparer tout dommage avec le moins de perturbations possible" Mon dieu, quelle révélation. Sans eux, on y aurait pas pensé :transpi:

En même temps c'est le but d'une boîte d'audit et de conseil : t'apprendre ce que tu savais déjà :D

Avatar de sashimi Abonné
Avatar de sashimisashimi- 26/09/17 à 12:54:14

Il dit qu'il voit pas le rapport.
Il n'est bien surprenant qu'une structure de ce style (dont le business model intègre une confidentialité de ses données client) essaie de temporiser la transparence, le temps de diagnostiquer l'étendue du (potentiel) désastre. Qu'il y ait eu un défaut de moyen au niveau de la fonction support DSI/SSI, ça a l'air bien parti pour être le cas. Aucun rapport avec la qualité du métier (l'activité d'audit / consulting) proprement dit.

Édité par sashimi le 26/09/2017 à 12:55
Avatar de uzak INpactien
Avatar de uzakuzak- 26/09/17 à 12:58:38

Big four

Quel rapport avec la poterie ?

Avatar de ndjpoye Abonné
Avatar de ndjpoyendjpoye- 26/09/17 à 13:03:35

C'est pas faux.

Voir même apprendre de toi, tout en te facturant la prestation biensur :transpi:

Avatar de kwak-kwak INpactien
Avatar de kwak-kwakkwak-kwak- 26/09/17 à 13:05:50

sashimi a écrit :

Il dit qu'il voit pas le rapport.
Il n'est bien surprenant qu'une structure de ce style (dont le business model intègre une confidentialité de ses données client) essaie de temporiser la transparence, le temps de diagnostiquer l'étendue du (potentiel) désastre. Qu'il y ait eu un défaut de moyen au niveau de la fonction support DSI/SSI, ça a l'air bien parti pour être le cas. Aucun rapport avec la qualité du métier (l'activité d'audit / consulting) proprement dit.

Ce ne sont pourtant pas les conseils qu'ils prodiguent (on parle ici bien de la manière de communiquer, non de la manière de sécuriser son système informatique). Par ailleurs si le service mail d'une telle boîte est corrompu, il est urgent d'en informer les clients pour qu'ils sachent ce qui se ballade dans la nature et puissent à leur tour prendre les mesures nécessaires.

Édité par kwak-kwak le 26/09/2017 à 13:06
Il n'est plus possible de commenter cette actualité.
Page 1 / 5