En l'espace de trois mois, Orange s'est fait voler à deux reprises des données clients. Cette fois, près de 1,3 million de personnes seraient concernées contre 800 000 en janvier. Et il ne s'agit plus seulement d'abonnés, mais aussi de prospects liés à d'autres fournisseurs. Autant de contacts à qui l'opérateur a dû écrire en insistant sur les conséquences de l'attaque, c'est-à -dire les risques de phishing encourus.
Si Orange se retrouve une nouvelle fois sous les feux des projecteurs, ce n'est pas uniquement par souci de transparence, mais parce que la loi oblige les opérateurs à notifier ce type de vol à la CNIL et aux personnes concernées lorsque les données ne sont pas anonymisées, rappelle Chadi Hantouche, spécialisé sur les questions de cybersécurité au sein du cabinet de conseil en SI Solucom. Dans l'industrie, d'autres entreprises ont sans doute subi ce genre de fuites sans pour autant communiquer sur le sujet. Jusque-là tout au moins. Car les nouvelles réglementations qui arrivent en France et en Europe vont conduire les entreprises à devoir de plus en plus souvent notifier ces vols à leurs clients, à l'instar de ce que font les entreprises américaines soumises à des lois restrictives sur ces questions, fait remarquer Chadi Hantouche. En témoignent la mise à la Une des mésaventures de chaînes de distribution ou d'hôtels telles que Target, Michaels, Holiday Inn et Mariott.
Des attaques détectées par une surveillance accrue
Si les cyberattaques se sont intensifiées au cours des derniers mois, les entreprises sont également de plus en plus conscientes des risques. En relevant le niveau de surveillance de leur informatique, elles repèrent davantage les attaques. A l'inverse, certaines entreprises en subissent sans le savoir. Aujourd'hui contraint à la transparence, Orange renforce aussi sa vigilance. S'il a attendu deux semaines pour prévenir ses clients et prospects de la 2ème attaque subie, c'est que l'opérateur a voulu identifier le problème et sécuriser ses systèmes avant de communiquer sur le sujet. En février dernier, peu de temps après la révélation de la 1ère attaque, Stéphane Richard, PDG de l'opérateur, avait expliqué que son groupe plaçait la sécurité de ses données clients aux premiers rangs de ses priorités. « Cela ne se fait pas en trois ou cinq mois, le chantier de sécurisation lancé par Orange va se faire dans la durée », note Chadi Hantouche.
L'expert en sécurité souligne aussi que ce type d'incidents conduit à sensibiliser le top management des entreprises sur l'obligation vitale de protéger les données de leurs clients. L'exemple de la chaîne de distribution américaine de Target illustre de façon éloquente les répercussions qu'un vol d'informations de cette nature peut avoir sur une entreprise : baisse des ventes, départ du directeur informatique et, il y a deux jours, démission du PDG de la société.
Des offres de cyberassurance appliquées au vol de données
En France, parmi les règlementations contraignantes, certaines dispositions de la récente loi de programmation militaire vont imposer aux opérateurs d'importance vitale (OIV) des notifications en cas d'incidents de sécurité. Tous les périmètres identifiés comme étant vitaux au bon fonctionnement de la nation seront soumis à cette obligation.
« On voit donc arriver un certain nombre d'initiatives dans les entreprises pour mieux détecter les attaques des systèmes informatiques et pour y réagir », confirme Chadi Hantouche, du cabinet Solucom, en rappelant qu'un écosystème se crée en réaction à cette évolution. Il évoque notamment les produits de cyberassurance élaborés par de grands acteurs du secteur de l'assurance. En cas de vol de données, ces contrats peuvent, selon le cas, couvrir l'identification du problème, la remise en état des systèmes, la prise en charge des frais de notifications aux clients et aller jusqu'à la restauration de l'image de l'entreprise.