3,3 millions de données personnelles volées : le cauchemar DISA Global Solutions

Imaginez : votre numéro de sécurité sociale, vos informations bancaires, votre permis de conduire… tout cela accessible à des inconnus. C’est le cauchemar vécu par plus de 3,3 millions d'Américains suite à une brèche de données massive chez DISA Global Solutions, une entreprise spécialisée dans les vérifications d'antécédents pour l'emploi. On vous explique tout sur cette affaire qui devrait vous inciter à être encore plus vigilant avec vos données personnelles.

Une brèche invisible pendant des mois

La découverte de la faille de sécurité chez DISA Global Solutions n'a pas été une mince affaire. Détectée le 22 avril 2024, l'intrusion avait pourtant débuté bien plus tôt, le 9 février 2024. Pendant plus de deux mois, un pirate informatique a pu accéder à des informations sensibles sans être détecté. Une négligence inquiétante qui souligne les failles de sécurité potentielles de nombreuses entreprises.

Quelles données ont été volées ?

Si DISA n’a pas pu identifier précisément toutes les données volées, les investigations ont révélé que les fichiers compromis contenaient des informations personnelles très sensibles. On parle notamment de :

• Noms
• Numéros de sécurité sociale
• Numéros de permis de conduire
• Informations de comptes bancaires
• Autres identifiants gouvernementaux

Selon certains rapports, des informations médicales et des dates de naissance pourraient également avoir été exposées. L’ampleur de la brèche est considérable, ce qui soulève des questions sur la sécurité des données dans le secteur des vérifications d'antécédents.

Les réactions face à cette affaire

Plusieurs experts ont exprimé leurs inquiétudes. Jim Routh, responsable de la confiance chez Saviynt, a déclaré : "Deux aspects de cette cyberattaque sont notables. Le premier est l’exfiltration des numéros de sécurité sociale, facilement monétisables par les acteurs malveillants. Le stockage de ces numéros exige un niveau de sécurité supérieur, et leur utilisation pour identifier les consommateurs est une pratique obsolète."

L’absence d’information précise sur l’origine de la brèche est également pointée du doigt. L’entreprise n’a pas communiqué sur les mesures prises pour éviter que cela ne se reproduise. “Le fait que la cause première de la brèche ne soit pas précisée, indique qu’il n’est pas clair quelles mesures DISA a prises pour réduire la probabilité que cela se reproduise à nouveau,” a ajouté Jim Routh.

Javvad Malik, de KnowBe4, a souligné le retard de détection et de notification, soulignant la nécessité de mesures de cybersécurité plus robustes : "Le retard dans la détection et la déclaration de la violation soulève des questions pressantes concernant les stratégies de surveillance et d'intervention en cas d'incident utilisées par DISA. Fournir des services de protection contre le vol d'identité après la violation […] n'est qu'une mesure réactive. Il est impératif que les organisations […] adoptent une position plus proactive en matière de cybersécurité."

Les conséquences et les recours possibles

DISA a pris des mesures pour contenir la brèche, a alerté les autorités et a renforcé ses protocoles de sécurité. L'entreprise propose également une année de surveillance de crédit gratuite aux personnes concernées via Experian. Malgré ces efforts, des poursuites collectives ont déjà été lancées contre l'entreprise.

Cory Michal, directeur de la sécurité chez AppOmni, a mis en lumière la vulnérabilité des entreprises de vérification d'antécédents : "Contrairement aux institutions financières, qui doivent se conformer à des réglementations strictes en matière de cybersécurité, ces entreprises fonctionnent souvent avec un budget de sécurité moindre et des contrôles de sécurité plus faibles, ce qui les rend plus vulnérables aux attaques."

Il plaide pour une réglementation plus stricte du secteur, similaire à celle imposée aux institutions financières ou aux organismes de santé. Des mesures comme le chiffrement des données, une surveillance continue et des pénalités financières en cas de brèche seraient nécessaires.

Leçons à retenir

L'affaire DISA Global Solutions est un appel à la vigilance pour tous. Cette brèche massive souligne l’importance de la protection des données personnelles et la nécessité pour les entreprises de mettre en place des systèmes de sécurité robustes et réactifs. La transparence et une réponse rapide en cas d'incident sont également cruciales pour préserver la confiance des clients. Il est essentiel de surveiller régulièrement ses comptes et ses informations personnelles pour détecter tout signe d'utilisation malveillante.