En octobre dernier, un cambriolage avait lieu dans les locaux informatiques d'un centre de formation de la société BlueCross, l'un des principaux organes fédérateurs d'assurances maladie assurant directement plus de 3 millions de citoyens américains.

57 disques durs sont portés manquants au patrimoine. Pas de quoi égorger une chèvre!

Et bien non, fausse non-alerte: l'analyse du cambriolage révèle rapidement que les disques durs volés contenaient les enregistrements d'environ 50'000 heures de conversation téléphoniques du service de support à la clientèle de la société. Le simple "cambriolage" prend alors un tout autre tournant et devient une brèche de confidentialité sur les données personnelles pouvant potentiellement toucher jusqu'à 3 millions de clients!

Cinq mois plus tard (1er mars 2010), les frais engendrés par la résolution de l'incident s'élèvent déjà à plus de 7 millions de dollars.

Pourquoi un tel coût? Que fait une société lorsqu'elle est victime d'un tel incident? En avant toute!




57 vulgaires bouts de métal...


L'incident se déroule au centre de commerce et d'affaires de EastGate, situé dans la petite ville de Chattanooga (Tennessee, États-Unis). Dans la soirée du vendredi le 2 octobre 2009, des inconnus pénètrent le centre de formation de la société BlueCross et se dirigent tout droit vers une armoire contenant du matériel informatique. Ils repartent avec 57 disques durs.

Les employés de la société constatent le vol le lundi suivant, 5 octobre 2009, et le déclarent immédiatement aux autorités.

Le personnel informatique procède immédiatement à la restauration des données volées dans les 57 disques durs, au moyen des sauvegardes.

L'incident technique et opérationnel est rapidement résolu.


...contenant des données personnelles


Le contenu des disques est alors considéré: les voleurs ont pris les disques servant de moyen de stockage pour les discussions téléphoniques et les captures d'écran des collaborateurs du support à la clientèle.

La procédure d'identification d'un client, lorsqu''il fait appel au support téléphonique, se fonde sur la vérification de connaissances simples: le numéro de client, son nom et sa date de naissance.

Pas assez, selon la Loi sur la Loi pour la dissuasion du vol d'identité (Identity Theft And Assumption Deterrence Act of 1998) pour qualifier le lot de "données personnelles."

Toutefois, de nombreux appels sont inévitablement liés au contentieux. Dans ces cas, les collaborateurs sont souvent amenés à demander au client la référence de la pièce comptable émise par le prestataire de services de santé (Health Insurance Claim), à savoir, le Medicare Health Insurance Claim Number (HICN).

Au même titre que nos anciens numéros d'assurés AVS (les lecteurs suisses comprendront), le code HICN est construit sur la base d'autres codes, dont l'identifiant du programme de sécurité sociale auquel le client a souscrit mais surtout, sur son numéro de sécurité sociale (Social Security Number).

C'est là que tout se corse: aux Etats-Unis, le numéro de sécurité sociale est un élément identifiant la personne lorsqu'elle souhaite interagir avec l'administration publique. Il s'agit donc d'un secret et surtout, d'une donnée personnelle au sens de la loi citée précédemment.

Dès lors, l'incident ne peut plus être traité comme "cambriolage", ou encore comme un "incident de sécurité" mais comme une brèche de confidentialité sur des données personnelles (personal data confidentiality breach).


Quelle différence entre le traitement d'un incident de sécurité informatique et celui d'une brèche de confidentialité sur les données personnelles?


Pour comprendre cette différence, il convient d'abord de revenir sur les fondements d'un incident de sécurité.

Lors d'un incident de sécurité, le système d'information de l'organisation est impacté sur l'un des trois facteurs suivants:
  • la disponibilité: l'incident a causé une interruption partielle ou complète de l'activité
  • l'intégrité: des données du système ont été touchées (créés, modifiées, supprimées, ou on ne sait pas) et il y a une rupture de confiance
  • la confidentialité: des données ont été consultées par des personnes non autorisées

Pour résoudre un incident de sécurité, les entreprises s'appuient généralement sur un processus constitué de huit étapes séquencées et trois activités de soutien, comme représenté dans le schéma ci-après:



Les étapes du processus:
  • La préparation: identification des rôles-clés, formation de l'équipe de réponse, préparation des supports de communication, communication des noms aux différentes parties intéressées, simulations de scénarios catastrophe, etc.
  • La réponse initiale: activation de la cellule de crise, mise en place de la collecte de preuves, communication de la prise en charge de l'incident, etc.
  • L'analyse de premier niveau: compréhension initiale de l'incident, identification des mesures de confinement pour empêcher la propagation ou l'aggravation, etc.
  • Le confinement: mise en place des mesures visant à stopper ou ralentir la propagation ou l'aggravation de l'incident.
  • L'analyse de second niveau: compréhension détaillée de l'incident, analyse des causes, analyse des impacts, identification des contremesures, formalisation du plan d'actions correctives, etc.
  • La correction: mise en oeuvre des mesures correctives au sein du système d'information. Ces mesures peuvent être physiques, techniques et/ou administratives.
  • La récupération: surveillance accrue du système d'information, parfois nécessaire si les changements ont été importants.
  • La clôture: notes de retour d'expérience, analyse des impacts et des opportunités ; si le système d'information est réputé stable, l'incident est clos.

En plus des étapes séquencées, l'on trouvera généralement trois activités de soutien:
  • La collecte de preuves: durant toute la résolution de l'incident, l'on s'assure à ce que des données soient collectées de façon à ce qu'elles puissent être présentées devant un Tribunal.
  • La communication de crise: durant toute la résolution, l'on s'assure que toutes les parties appropriées soient maintenues au courant. Il peut s'agir de 5 personnes comme il peut s'agir d'assurer le contact avec la presse et la surveillance accrue des réseaux sociaux en ligne.
  • La coordination: activité de soutien chapeautant toutes les autres, généralement prise en charge par le responsable de la sécurité du système d'information.

Dans presque tous les cas, la victime de l'incident est l'organisation: elle subit ainsi diverses sortes de dommages, tels que des dommages financiers directs (frais de réparation, de remplacement et de rétablissement) et d'autres formes moins directes, tels que les dommages sur la réputation ou les interruptions sur l'activité normale de l'entreprise. Le client n'est alors qu'une victime plus qu'éloignée: si l'incident est particulièrement coûteux ou s'il s'en produit fréquemment par année, le client supportera peut-être les coûts via une augmentation des prix des biens et services de l'organisation (ce que j'aime également appeler une délégation du coût de l'incompétence).

Ainsi, les entreprises stockent de plus en plus de données financières et commerciales au sein de leurs systèmes parfois dans le but d'identifier des opportunités commerciales, parfois afin d'optimiser leurs activités. Elles ont donc un intérêt direct à garantir la sécurité de leurs systèmes d'information.


Depuis quelques années toutefois, une nouvelle tendance est apparue. En plus de stocker d'incroyables quantités de données financières et commerciales, les organisations s'amusent au jeu de la collecte à outrance de données personnelles. De plus en plus de citoyens donc, ont de plus en plus de données leur concernant, stockées dans les systèmes des diverses sociétés avec lesquelles ils interagissent. Pire encore: chacune de ces sociétés n'hésite souvent pas à communiquer, échanger, partager les données sur la clientèle avec d'autres partenaires commerciaux.

A moins de s'y mettre à plein temps, il est donc impossible pour un consommateur typique de savoir qui traite ses données personnelles, et, par extension, de s'assurer de leur bon traitement, en particulier, le maintien de leur confidentialité.

A tout cela s'ajoute un troisième élément-clé: dans le cas d'une brèche de sécurité visant uniquement des données personnelles, de nombreuses entreprises ne subissent aucun dommage direct. Rien n'est détruit, rien n'a disparu, la vie continue!

Considérant cette combinaison de facteurs, l'on arrive rapidement à la conclusion que les organisations n'ont qu'un intérêt financier faible à garantir la sécurité des données personnelles de leurs clients (ou de leurs collaborateurs).

A titre d'exemple: une banque ne vous devra rien si un pirate accède aux détails de votre fortune. En revanche, vous êtes imputable de toutes les opérations portées au débit de votre compte dans le cas où vous auriez malencontreusement laissé trainer le NIP de votre carte de retrait. Les consommateurs se retrouvent donc dans une relation de pouvoir totalement asymétrique en matière de responsabilités.


Que se passe-t-il dans pareille situation? Si vous vivez dans un état un tant soit peu social, le mécanisme est toujours le même: l'État se substitue au citoyen et l'organisation lui devient redevable. Cela se traduit généralement par la mise en oeuvre d'organes de contrôle, de règles (des lois ou des ordonnances) ainsi que des punitions (des amendes). Par exemple, les constructeurs automobiles doivent se plier à des standards de sécurité définis au niveau des États pour être autorisés à vendre leurs produits aux particuliers. Le but est toujours le même: faire en sorte que le non-respect des recommandations soit financièrement indésirable pour l'entreprise.

Dans le sujet qui nous concerne, il s'agit de lois visant à contraindre les organisations à garantir la sécurité des données personnelles de leurs clients et de leurs collaborateurs.

Je reviens donc sur la question posée en tête de chapitre: Quelle différence entre un incident de sécurité informatique et une brèche de confidentialité sur les données personnelles?

Dans le premier cas, l'organisation n'est redevable qu'à elle-même (et potentiellement, ses actionnaires). Cela se traduit généralement par une autorité interne proche des technologies allant rendre des comptes à une autorité interne responsable de la gestion et du contrôle des risques.

Dans le second cas, l'organisation est redevable aux particuliers, auxquels se substitue l'État. L'incident de sécurité va donc devoir être traité en conséquence et coûtera beaucoup plus cher que la mise en oeuvre de mesures de sécurité, comme nous le voyons dans cette analyse.

J'ajouterai ici qu'il est crucial que cette différence soit prise en compte par les fournisseurs de services en matière de sécurité, en particulier lors des missions d'audit et les tests d'intrusions, qui, dans de nombreux cas, n'intègrent pas encore convenablement les enjeux relatifs à la protection des données personnelles.


Quels sont les coûts supplémentaires directs liés à un incident sur les données personnelles?


Pour bien comprendre cette différence, il suffit de lire le texte de loi en vigueur lorsque BlueCross a été victime de l'incident de sécurité, en l'occurrence, le "Health Information Technology for Economic and Clinical Health Act", plus connu sous le nom de HITECH. L'HITECH définit divers éléments clés de la protection des données tels que:
  • Les définitions officielles, en particulier, la définition d'une donnée personnelle et des traitements qui peuvent lui être associés
  • Les critères d'application des peines et amendes aux organisations contrevenant au texte
  • Les subventions auxquelles les organisations peuvent prétendre
  • Les obligations de tester le système d'information
  • Le traitement des brèches de confidentialité

Plus précisément, concernant le traitement de la brèche de confidentialité sur des données personnelles, l'HITECH définit quatre obligations:
  • L'obligation d'identifier: savoir qui est victime de la brèche
  • L'obligation de notifier: annoncer l'incident aux victimes de la brèche
  • L'obligation de soutenir: proposer un support aux victimes de la brèche
  • L'obligation de rapporter la résolution de l'incident aux autorités

Le processus de réponse en cas d'incident est donc sensiblement différent à cela qu'il se complète de 4 activités supplémentaires:



L'obligation d'identifier

La première activité consiste à identifier précisément quelles sont les personnes dont les données ont été exposées par l'incident.

S'il vous arrive de contacter le support à la clientèle de certains de vos prestataires de services, vous avez certainement entendu l'annonce "Pour des raisons de qualité, cette conversation peut faire l'objet d'un enregistrement. Nous vous remercions de votre compréhension."

Dans le cas de l'incident auprès de l'entreprise BlueCross, les 57 disques durs volés contenaient 1'150'000 fichiers audio de conversation et plus de 300'000 captures d'écran. Malheureusement, ou heureusement, le dispositif d'enregistrement décide de façon totalement aléatoire d'activer la collecte de données à des fins de qualité, sans pour autant en indexer les détails sous une forme structurée.

L'effet immédiat de cette démarche est qu'il a été impossible pour BlueCross de savoir précisément quel client avait été concerné par tel ou tel enregistrement.

Il a donc fallu les écouter:



Oui, vous avez bien lu:
  • Il a été impossible d'analyser les fichiers au moyen d'un programme informatique, la société a dû se rabattre sur une écoute manuelle des conversations et une analyse manuelle des captures d'écran.
  • 550'000 fichiers avaient été écoutés en date du 16 décembre 2009 (2 mois et demi après l'incident), il en restait plus de 600'000 à écouter.
  • 800 personnes ont été employées à l'écoute des fichiers, dont 500 à plein-temps
  • L'écoute est menée sur des semaines de six jours et des journées de 16 heures (2 rotations)

L'obligation de notifier

La seconde activité consiste à notifier indépendamment chaque personne visée par l'attaque, par voie postale (à se demander si le lobby des télégraphes n'a pas eu son mot à dire lors de la formulation de la Loi).

Dans le cas de BlueCross, cela s'est traduit par l'envoi de plus de 50'000 notifications écrites, deux mois et demi après l'incident. A ce stade, seule la moitié des enregistrements avait été analysée.


L'obligation de soutenir

En plus d'avoir notifié chacune des victimes, BlueCross a conclu un partenariat avec la société EquiFax, prestataire de services d'assurance contre le vol d'identité et de surveillance en matière de fraude à la carte de crédit. Chaque victime bénéficie donc d'un an de services et d'une assurance contre le vol d'identité couvrant jusqu'à concurrence de 1 million de dollars.

Un service de support téléphonique dédié a été mis en place pour les victimes ayant reçu la notification de la brèche souhaitant s'informer sur les risques potentiels d'un vol d'identité.

En cas de soupçon d'un vol d'identité, chacune des victimes peut prendre contact gratuitement avec l'un des enquêteurs assignés à l'opération, dont l'autorité permet l'accès aux données de surveillance des moyens de paiement du client (cartes de crédit).

Un service spécial a été également déployé pour la protection contre le vol d'identité sur les mineurs dont le numéro de sécurité sociale a été également divulgué.


L'obligation de rapporter

D'autre part, dans tous les Etats où plus de 500 personnes avaient été touchées par l'attaque, le procureur général a été contacté personnellement. En cliquant ici, vous pourrez consulter la lettre envoyée le 16 décembre 2009 au procureur général de l'Etat du Maryland.

La notification n'est pas unique, chaque procureur doit être maintenu au courant de l'avancement de la résolution de l'incident. En plus de veiller au respect des engagements envers les victimes, l'organisation doit fournir au procureur les garanties que les corrections nécessaires ont été mises en oeuvre afin que l'incident ne puisse se reproduire:


(le lecteur attentif notera que la méthode choisir pour tester la robustesse du système d'information est le test d'intrusion)



Pour en finir


Le cas de la société BlueCross indique clairement que les États-Unis ont mis en place un arsenal légal pour la protection des données personnelles qu'il sera difficile de négliger dans un futur proche.
BlueCross est un cas d'école: 7 millions de dollars en frais de résolution de l'incident et la facture n'est que partielle, la majorité des coûts est induite par les obligations légales de notification des victimes et non par la correction du système d'information.

Le premier objectif pour les consommateurs est atteint: négliger la sécurité de leurs données personnelles coûtera de plus en plus cher aux entreprises. Il reste à optimiser les dispositifs de contrôle et d'application des règles. Qui contrôle qui? J'ose ainsi imaginer qu'un écart conséquent subsiste encore entre le nombre de sociétés victimes d'une brèche de confidentialité sur des données personnelles et le nombre de sociétés répondant à leurs obligations légales. Qu'en est-il de sociétés comme Facebook, Twitter ou Google? De graves failles de sécurité ont récemment exposé les données personnelles de leurs clients sans que ces sociétés ne soient pour autant importunées.

Un autre problème cité plus haut est également celui des sociétés de services en sécurité: quelle est leur prise en charge des aspects spécifiques à la protection des données personnelles? Les derniers rapports auxquels j'ai eu accès mesuraient l'exposition de l'infrastructure à des attaques informatiques mais pas celle des clients ni des collaborateurs de l'entreprise. L'exécutif s'y intéresse-t-il? En tant que client de ce genre de service, avez-vous observé un changement dans les rapports qui vous sont restitués? Exigez-vous que cette évaluation soit incluse dans le scope de vos tests d'intrusion?

Finalement, dans une société où la collecte de données est conduite à l'échelle globale, la question de la territorialité se pose inéluctablement. Le cas BlueCross est spécifique à la vision américaine: seules les sociétés y exerçant leur commerce y sont contraintes. Il y a très clairement une forte asymétrie entre les contraintes imposées par les lois américaines et les lois européennes. L'Union Européenne et ses Etats membres ne sont toutefois pas en reste: l'intention d'adopter des lois contraignantes en matière de notification de brèches de confidentialité a encore une fois été confirmée lors de la conférence Infosecurity Europe, tenue le 27 avril dernier à Londres.

David Smith, porte-parole de la commission britannique à la protection des données, a en effet indiqué que la Commission Européenne a placé ce sujet à l'ordre du jour pour l'année 2010 et que la contrainte de notification pourrait s'étendre à toutes les entreprises et non uniquement aux fournisseurs de services de télécommunication, comme il était prévu à l'origine.

Un peu moins récente, l'allocution de Madame Reding, vice-présidente à la Commission Européenne, tenue le 18 mars dernier tenait plus ou moins le même discours:

"On privacy and data protection I have initiated the process leading up to the reform and modernisation of the 1995 Directive. In line with the legal prerequisite introduced by Lisbon we have now a specific provision (Article 16) to develop a comprehensive and coherent framework for the protection of personal data. The new legal framework should address new challenges of the information age, such as globalisation, development of information technologies, the internet, online social networking, e-commerce, cloud computing, video surveillance, behavioural advertising, data security breaches, etc.
The Commission is currently analysing the over 160 responses to the public consultation. I will present a legislative proposal reforming the Directive before the end of the year and I will consider establishing the principle of "privacy by design."


Et en ce qui concerne la Suisse? Difficile d'y répondre, à première vue, nos établissements ne se font jamais pirater. La culture du secret tient bon, profitons-en tant que ça dure... ; )


J'ai gardé une petite touche de cynisme pour la fin de cet article. Au final, nous savons que BlueCross a dépensé plus de 7 millions de dollars pour traiter un incident de sécurité ayant constitué une brèche de confidentialité sur les données personnelles de ses clients.

Mais d'un autre côté, personne ne sait vraiment si les types qui ont volé les 57 disques durs ne les ont pas tout simplement installés dans le gros serveur d'une salle de jeux en réseaux. C'est là toute la grandeur pour laquelle j'affectionne tout particulièrement les incidents sur les données personnelles ;)


Une petite image pour conclure:

titre: regrets!

(et je vous remercie de votre confiance pour avoir lu cet énorme pavé!!)



références:
- Data theft creates notification nightmare for BlueCross (ComputerWorld)
- Dear General... (Lettre écrite au Procureur Général de l'État du Maryland)
- Computer Emergency Response Team (Wikipedia)
- Data Breach Notification Law Coming (ZDNet UK)
- Data breach notification law approved (Datonomy Blog)
- European Privacy Laws to be Reformed (ZDNet UK)
- Europa presse releases - Viviane Reding - Next steps for Justice
- HITECH Act
- Health insurance claims (Howstuffworks.com)
- EU Data protection directive - User country guides
- Information Commissioner's Office - review of the EU Data Protection Directive