Cyberattaque de la LNER : « La sécurité est aussi forte que le maillon le plus faible ».

La compagnie nationale britannique LNER s’est peut-être réjouie de la fermeture de l’East Coast Main Line ce week-end (et le week-end suivant). L’opérateur de services de transport express de passagers a admis avoir été victime d’une violation de données la semaine dernière et n’a cessé de faire parler de lui depuis. Alors que les passagers se demandent où trouver leurs trains détournés et leurs services de bus de remplacement, des questions sont posées au sein de l’industrie sur le niveau de sécurité que le gouvernement britannique a accordé aux données de ces mêmes passagers.

Le ministère britannique des transports étant l’un des rares services gouvernementaux à ne pas avoir été touché par le vaste remaniement de la semaine dernière, il semble qu’il y ait peu d’excuses pour qu’un oubli ait permis à une cyberattaque de s’introduire dans l’une de ses responsabilités. Toutefois, la révélation de l’exposition des données des clients de la LNER a été quelque peu choquante. La violation de données a eu lieu chez un fournisseur tiers anonyme, ce qui soulève des questions de conformité et de diligence. LNER a déclaré qu’aucune donnée bancaire ou de paiement, ni aucun mot de passe n’avaient été consultés.

Évaluation laxiste des risques liés aux fournisseurs

Compte tenu de l’actualité et de l’attention du gouvernement, l’incident est passé inaperçu dans la presse grand public. RailTech.com a repris l’histoire la semaine dernière, alors que la présence en ligne de la LNER était mise à rude épreuve. Néanmoins, la gravité de l’incident n’a pas échappé à l’attention du secteur de la sécurité en ligne. « Le dispositif de sécurité d’une organisation est aussi solide que le maillon le plus faible de sa chaîne d’approvisionnement », a déclaré Darren Guccione, PDG de la société Keeper Security, principalement basée aux États-Unis. « Une brèche de ce type fournit aux cybercriminels les matières premières nécessaires à l’élaboration de campagnes d’hameçonnage et d’ingénierie sociale très efficaces.

M. Guccione estime que les organisations doivent considérer les systèmes tiers comme faisant partie de leur « surface d’attaque » et prendre des mesures proactives pour éviter des résultats similaires. « Cela commence par une évaluation approfondie des risques liés aux fournisseurs afin d’évaluer les pratiques de sécurité de chaque partenaire, y compris les certifications, les procédures de protection des données et les plans d’intervention en cas d’incident », a-t-il déclaré.

Travailler avec des experts pour mettre en place des mesures de protection

Le problème est que LNER, une marque fantôme de l' »opérateur de dernier recours » du ministère des transports, est un analogue proche de ce à quoi on pourrait s’attendre dans le cadre du programme de nationalisation totale du gouvernement britannique. L’entreprise publique, qui exploite des services sur la ligne principale de la côte Est entre Londres et l’Écosse, a déclaré que la violation concernait des fichiers gérés par un fournisseur tiers. Dans un communiqué, la LNER a déclaré qu' »aucune information bancaire, carte de paiement ou mot de passe n’a été affectée » et a confirmé qu’elle traitait l’incident avec la « plus haute priorité », en travaillant avec des experts et le fournisseur pour mettre en œuvre des mesures de protection.

La compromission des fournisseurs tiers est en hausse cette année », a déclaré Michael Tigges, analyste principal des opérations de sécurité chez Huntress, une société gérée par New York qui lutte énergiquement contre les cybercriminels. « Les entreprises devraient mettre en œuvre des exercices de simulation réguliers et des examens de la provenance des données », a déclaré M. Tigges. Cela permettrait de vérifier que les données qui transitent par des fournisseurs tiers sont sécurisées de manière appropriée. « Les utilisateurs finaux devraient envisager de renforcer leur identité afin de détecter les attaques susceptibles d’utiliser les informations volées à des fins militaires.

Augmentation du nombre d’escroqueries ciblées

La société LNER n’était pas encore totalement rétablie à la fin du week-end. « Nous avons temporairement interrompu certains de nos services de messagerie et de nos courriels de marketing par mesure de précaution », indique un communiqué de LNER. Nous travaillons en étroite collaboration avec des experts et le fournisseur pour comprendre ce qui s’est passé et nous assurer que les mesures de protection appropriées sont en place ». Parmi les systèmes touchés figurait le système en ligne « Delay Repay », qui permet de dédommager les passagers lorsque les trains sont en retard.

« Cette attaque fait suite à un été d’incidents liés à la chaîne d’approvisionnement qui ont touché des marques connues telles que M&S, Co-op et plus récemment Jaguar Land Rover », a déclaré Tim Grieveson, directeur de la sécurité et des risques chez ThingsRecon, dont le siège se trouve à Amsterdam. « Les auteurs n’ont pas encore été identifiés. Le point commun de ces violations est qu’elles mettent en évidence la complexité des écosystèmes numériques modernes, où les intégrations de tiers et de la chaîne d’approvisionnement peuvent avoir un impact significatif sur la sécurité », a-t-il ajouté. « Les coordonnées exposées pourraient être vendues à des spammeurs ou à des cybercriminels, ce qui entraînerait une augmentation des communications non désirées ou des escroqueries ciblées, même si les informations d’identification de paiement n’ont pas été compromises.