Home Depot : encore une nouvelle violation de données dans le secteur de la vente au détail. La conformité PCI ne suffit tout simplement pas

3 septembre 2014
Amy Newman
PCI DSS

Qu'ont en commun Home Depot, UPS et Target ? Eh bien, outre le fait qu'ils proposent tous des meubles à prix abordables, ces trois entreprises ont récemment été victimes de fuites de données impliquant des terminaux de point de vente (TPV) contenant des informations financières sur leurs clients.

Aujourd’hui, dès qu’une fuite de données se produit, il y a toujours quelqu’un pour chercher un coupable. « C’est la faute du magasin. Leur sécurité informatique n’était pas conforme. Il est évident qu’ils auraient dû régler le problème X et se préparer à Y… » Eh bien, je ne pense pas qu’il soit productif d’aborder ce genre de problèmes sous cet angle. La sécurité n’est jamais infaillible et des *incidents* arrivent, alors mettez un casque et faites-vous une raison, ou bien quittez le secteur.

Si vous voulez rejeter la faute sur quelque chose, blâmez la confiance accordée aux réglementations comme moyen de sécuriser les données des clients. Les réglementations ne sont pas, et n’ont jamais été, une solution miracle. Un chef ne prépare pas de bons plats simplement parce que son restaurant a passé une inspection sanitaire ; pourtant, dans le domaine de la sécurité informatique, les gens brandissent leurs certifications de conformité comme s’il s’agissait d’un élément déterminant. Ce n’est pas ainsi que cela fonctionne. Si vous travaillez dans l'informatique de détail, la conformité PCI n'est pas une sorte de médaille d'honneur, c'est plutôt une reconnaissance du fait que vous n'êtes pas incompétent. Si vous aviez une pièce remplie de personnes et que vous vouliez trouver la plus instruite, vous ne commenceriez pas par demander qui a terminé l'école primaire ; de même, si vous jugez une entreprise victime d'une violation uniquement sur la base de sa conformité ou non, vous posez les mauvaises questions. La conformité est une exigence minimale et, comme la plupart des exigences minimales, il s’ensuit logiquement que tout ce qui va au-delà est préférable. Ce qu’il faut alors commencer à se demander, c’est : « Cette violation aurait-elle pu être raisonnablement évitée ? »

Ces entreprises étaient légalement tenues de se conformer à la norme PCI, mais la sécurité informatique ne se résume pas à suivre à la lettre des directives de sécurité toutes faites. L'essentiel en matière de sécurité informatique, c'est qu'on ne peut jamais éliminer le risque, on ne peut que l'atténuer. Une question reste donc en suspens : la violation de données chez Home Depot aurait-elle pu être raisonnablement évitée ?

Je ne peux pas répondre facilement à cette question. Selon le point de vue, cette violation était à la fois évitable et inévitable. Il est impossible de le savoir, car nous ne savons pas si Home Depot a correctement sécurisé les données de ses clients ; ces informations n’ont pas encore été rendues publiques. Ce que je peux dire, c'est que si davantage de banques avaient adopté les cartes de crédit à puce, la violation n'aurait pas été aussi grave. Les cartes à puce sont plus difficiles et plus coûteuses à « cloner », ce qui les rend moins intéressantes pour les criminels. Cela aurait-il empêché la violation ? Probablement pas. Cela aurait-il réduit les dégâts ? Oui, et de manière significative.

Mais quand on y réfléchit bien, c'est là tout l'essence même de la sécurité informatique. La sécurité absolue n'existe pas. La seule certitude en matière de sécurité informatique, c'est la probabilité inévitable qu'un système soit piraté. P(piratage) ≠ 0, etc. Si quelqu'un était prêt à y consacrer suffisamment de ressources, il pourrait pirater n'importe quel système. Pour lutter contre cela, les professionnels de la sécurité informatique doivent suivre un processus continu de vérification et de confirmation afin de s'assurer que leurs systèmes fonctionnent comme prévu. Il s'agit d'un processus visant à s'assurer que les vulnérabilités sont corrigées dès qu'elles sont découvertes.

En résumé :

Aurait-on pu faire davantage pour empêcher la violation de données chez Home Depot ?

Bien sûr, on peut toujours faire mieux pour renforcer la sécurité.

Leur niveau de conformité PCI a-t-il une importance ?

Pas vraiment, sauf d'un point de vue juridique.

Une sécurité renforcée aurait-elle changé la donne ?

Pas forcément, mais ça n'aurait pas pu aggraver la situation.

Je ne suis pas du genre à me mettre en avant après une violation majeure, mais nous proposons un livre électronique gratuit qui explique comment AuthAnvil contribuer à sécuriser les systèmes informatiques du secteur de la vente au détail. Il décrit comment bon nombre de nos fonctionnalités permettent de respecter, voire de dépasser, les exigences de la norme PCI DSS.

Une plateforme complète pour la gestion informatique et de la sécurité

Kaseya 365 la solution tout-en-un pour la gestion, la sécurisation et l'automatisation de l'informatique. Grâce à des intégrations transparentes entre les fonctions informatiques essentielles, elle simplifie les opérations, renforce la sécurité et améliore l'efficacité.

Obtenez une démo Découvrez Kaseya 365

Une seule plateforme. Tout l'informatique.

Kaseya 365 bénéficient des avantages des meilleurs outils de gestion informatique et de sécurité, le tout dans une solution unique.

Découvrez Kaseya 365

Votre succès est notre priorité absolue.

Partner First, c'est un engagement envers des conditions flexibles, un partage des risques et un soutien dédié à votre entreprise.

Explorer Partner First Pledge

Rapport mondial de référence sur les MSP 2025

Le rapport mondial 2025 de Kaseya sur les prestataires de services gérés (MSP) est la ressource incontournable pour comprendre les perspectives du secteur.

Télécharger maintenant

Explorer les catégories