⚠️Le cas Génération ! Une mutuelle victime d’une cyber attaque le 27 Novembre 2021 ça vous étonne ?
Moi non, voilà maintenant 6 mois que je mène différents audits de sécurité volontaire (vocation commerciale) ou sous-traité. J’ai ciblé particulièrement le gouvernement, certaines mutuelles ainsi que diverses entreprises stockant nos données.
👊La vérité ?
En dehors du gouvernement, tout le monde minimise ou passe à la trappe les faiblesses présentées. La culture de la sécurité semble être une chimère pour les décisionnaires (directeurs régionaux, chefs de projets, DSI ou dirigeants) de certaines entreprises et ne se rendent pas compte des risques légaux pour eux et des risques sociaux économiques pour leurs clients.
De plus, qu’en est-il des prestataires connaissant la vulnérabilité des applications conçus pour leurs clients, mais qui passent aussi tout ça au silence en croisant les doigts.
Il n’y a pas d’acte isolé, c’est une vérité de notre secteur.
Ne vous pensez pas à l’abri car vous êtes noyé dans la masse, vous êtes en réalité seulement vulnérable.
🧐 Pour le cas Génération je me pose les questions suivantes :
– Combien de temps avant de se rendre compte de la cyber attaque ?
– Pourquoi communiquer seulement le 8 Décembre ?
– La brèche a-t-elle été exploitée durant 11 jours ?
– Nous clients, aurons nous de manière transparente les causes de la cyber attaque ?
– A la vue de l’indisponibilité de leurs services, pouvons nous douter de la capacité interne des équipes à ce prémunir de tels scénarios mais aussi à y répondre ?
– Le prestataire de développement avait-il connaissance de l’état du système d’informations sans le partager au commanditaire (technologies vieillissantes, profils de coûts junior, sous-traitance volontaire, chef de projet suffisant et non expérimenté … )?
Seriez-vous étonné si tout ceci serait la cause d’une volonté de réduction de coûts chez le commanditaire ou le prestataire ? Moi non.