Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Vol de données chez Uber : les causes et les leçons à en tirer

novembre 2017 par Simon Townsend, Chief Technologist EMEA chez Ivanti

Voici la réaction de Simon Townsend, Chief Technologist EMEA chez Ivanti, suite à l’admission par Uber d’un vol de données mercredi.

On peut soutenir qu’il est moralement incorrect et inacceptable qu’une organisation, en particulier une organisation dont les services sont aussi utilisés que le sont ceux d’Uber, retarde non seulement le signalement d’une violation de données, mais tente en plus de le dissimuler ! Dès le 25 mai prochain, le règlement général sur la protection des données (RGPD) forcera les organisations qui traitent les données de citoyens de l’UE à signaler toute infraction dans les 72 heures sous peine d’être condamnées à une amende pouvant atteindre 20 millions d’euros ou 4% de leur chiffre d’affaires annuel (le chiffre le plus élevé des deux). Étant donné que les revenus d’Uber s’élevaient à 6,5 milliards de dollars l’an dernier, ils auraient risqué d’être condamnés à payer une amende de 260 millions de dollars.

Beaucoup de personnes se demanderont comment cette violation s’est produite et ce qui aurait pu être fait pour la prévenir. Les rapports suggèrent que la brèche a eu lieu parce que les pirates ont pu accéder aux identifiants de connexion d’Uber à Amazon Web Services qui étaient, pour une raison quelconque, disponibles sur une partie privée de Github. Il ne semble pas normal qu’Uber, une entreprise communément admise comme étant LA société de transformation numérique, ait apparemment oublié les principes de base de l’informatique et qu’elle n’ait pas réussi à assurer une bonne gouvernance dans le département R&D qui utilisait des outils de cloud computing. En matière de sécurité et d’informatique, il est essentiel de bien comprendre les règles de base, sans quoi les innovations technologiques sont bâties sur un château de sable. Toutefois, le véritable problème ici est qu’Uber a fait preuve d’un mépris flagrant pour les données de ses employés et de ses clients en essayant de dissimuler la violation, et que la violation n’a été signalée au public qu’un an après avoir eu lieu.

Le RGPD européen visera à aider les organisations à réaliser l’importance de la protection des données dès mai 2018. Agir comme se l’est permis Uber sera inacceptable et les organisations doivent travailler d’arrache-pied pour que leur technologie, leurs employés et leurs processus soient en conformité.




Voir les articles précédents

    

Voir les articles suivants