AshleyMadison.com, un site Web dédié… à l’infidélité conjugale, a subit une importante brèche de sécurité de ses données. Le site a été piraté, des données ont été volées et dans un acte aux vertus hacktivistes autoproclamées, les pirates informatiques ont rendu publiques les informations. Le nombre précis de personnes concernées varie selon les rapports, mais il reste dans tous les cas élevé.
Que peut-on dire de cette affaire ? Il n’est pas facile de défendre les utilisateurs de ce genre de site Web, mais les chiffres indiquent qu’il s’agissait d’une activité florissante. D’un autre côté, on ne peut pas non plus féliciter les pirates d’avoir révélé des noms, des numéros de cartes de crédit, etc. Deux maux ne font toujours pas un bien, même sur Internet. En outre, on peut supposer qu’il y a beaucoup d’innocents parmi les coupables, des personnes qui se sont inscrites pour regarder, de la même manière que vous vous inscririez sur un site de rencontre standard pour le consulter, sans toutefois contacter quelqu’un.
D’un point de vue professionnel, il faut garder à l’esprit (en dehors de tous les problèmes moraux et éthiques) que dans le cas présent Ashley Madison était une société dirigée par Avid Life Media. À cet égard, ce qu’ils « vendaient » importe peu. Il aurait pu s’agir d’animaux en peluche, de pots de confiture ou de pièces électriques industrielles. C’était une entreprise et elle a été piratée. Ce comportement est illégal et criminel.
De nos jours, comme dans toutes les sociétés, l’actif le plus précieux d’Ashley Madison était ses données. En fait, les données constituaient son unique actif. Ils vendaient des connexions aux données. Voilà ce qu’ils faisaient. Ils connectaient des données, de manière privée. Mais désormais, ces données sont publiques.
On pourrait réprimander tous les services informatiques de la planète en leur disant : « Vous voyez ? Voilà pourquoi vous devez être plus prudents ! » Cependant, ce cas n’est qu’un nouvel exemple d’une série visiblement sans fin de brèches de sécurité, de pertes de données, de fuites de données, etc.
Toutefois, le fait de savoir que vous avez potentiellement un problème et le fait d’agir pour le régler sont deux choses différentes. Et même si vous savez que vous devez faire quelque chose cela ne signifie pas que vous agirez judicieusement ou de la bonne manière. Les entreprises sont piratées car la sécurité des données est un concept complexe et parce que des personnes très intelligentes recherchent des brèches dans votre mur à longueur de journées. C’est suffisant pour pousser un directeur informatique à tout laisser tomber pour aller vendre des pots de confiture sur Internet. Ok, peut-être pas sur Internet.
Alors, que faire ? Tout simplement utiliser les « clichés informatiques génériques » : Consolider. Simplifier. Durcir. Simplifier. Ne jamais cesser de contrôler. Simplifier.
Vous remarquerez un thème récurrent, celui de la simplicité. En effet, la complexité engendre des faiblesses, car vous ne pouvez jamais tout contrôler tout le temps. Il est plus simple de comprendre un produit que d’en comprendre cinq et c’est plus particulièrement le cas en ce qui concerne la sécurité ainsi que la gestion des données. N’ayez pas peur de faire appel à des experts si vous n’en avez pas vous-mêmes. Si vous pensez ne pas savoir tout ce qu’il est nécessaire de connaître, alors faites appel à quelqu’un. Certes, il est coûteux de faire appel à des experts pour contrôler votre environnement, qu’il s’agisse de fournisseurs, de distributeurs de produits modifiés ou de consultants, mais il est également coûteux de voir le nom de votre société placardé partout sur Internet, et dans les médias …
Il y a une leçon à tirer de l’actualité du site AshleyMadison.com : ne vous retrouvez pas dans une situation embarrassante parce que vous n’êtes pas préparés ! Bien assez tôt, une autre société ou une autre agence gouvernementale fera la une des journaux. Il y a toujours de nouvelles cibles et de nouvelles victimes. Toutefois, si vous prenez les mesures nécessaires, si vous disposez d’une stratégie de gestion des données solide et d’un partenaire fiable, vous ne serez peut-être pas cette nouvelle victime.
__________
Patrick Rohrbasser est directeur France et Afrique du Nord de CommVault